Figura 1.1 Spectrul și serviciile wireless [308910]
CAPITOLUL 1. Introducere
Industria calculatoarelor a beneficiat de o [anonimizat]. Rezultatele vorbesc de la sine: calculatoarele au dimensiuni reduse și pot atinge performanțe uimitoare. [anonimizat] o [anonimizat] s-[anonimizat]-un format extraordinar de avansat. În paralel cu această dezvoltare continuă, s-au dezvoltat o multitudine de aplicații care sunt dependente de o rețea de calculatoare. [anonimizat] o permanentă conectare. Însă pentru utilizatorii „mobili”, [anonimizat], fiind inutilizabile. Răspunsul la nevoiele utilizatorilor mobili îl reprezintă comunicațiile fără fir.
[anonimizat], au fost promovate ca o [anonimizat], fiind utilizat ca o extensie sau o rețea adițională pentru rețelele cablate. [anonimizat], astfel a dispărut utilitatea cablajului. Însă, [anonimizat]-urile, în special în ceea ce privește partea de tipărire în rețea pentru conexiunea la server.
Figura 1.1 Spectrul și serviciile wireless
Scopul acestei lucrări este de a studia anumite aspecte asupra rețelelor fără fir și mai ales a cerințelor de securitate pe care o astfel de rețea ar trebui să le îndeplinească. Vor fi dezvoltate aplicații practice ale rețelelor cu fir și fără fir în diferite simulatoare de rețea pentru a verifica și demonstra aspecte din punct de vedere al securității.
Securitatea informației și respectiv a rețelei (cu sau fără fir) poate fi definită ca o caracteristică a [anonimizat] a rețelei de a [anonimizat], [anonimizat], [anonimizat] a serviciilor oferite sau accesibile prin rețea.
[anonimizat]: [anonimizat], incluzând manipularea. [anonimizat]: nestructurate, structurate, interne și externe.
Amenințările nestructurate se rezumă la un atac al unui utilizator ce nu are o [anonimizat]: [anonimizat], care pot fi ușor de depistat.
Amenințările structurate sunt realizate de către hackeri destul de motivați și foarte bine pregătiți din punct de vedere tehnic. [anonimizat], scripturi sau coduri sursă.
[anonimizat], [anonimizat]: parcări, clădiri apropiate etc. Aceste tipuri de amenințări sunt luate în serios de către cei care își doresc o [anonimizat]ia investind sume considerabile.
Amenințările interne au loc când cineva cu scop rău intenționat are acces la resursele rețelei, deținând un cont pe server sau având acces la mediul fizic. Aceste amenințări sunt reponsabile pentru 60-75% din atacurile raportate.
1.1 Noțiuni introductive
Rețelele locale fără fir (WLAN) cele mai răspândite, realizate pe baza familiei de standarde IEEE 802.11, sunt cunoscute sub marca Wi-Fi. Familia de standarde IEEE 802.11 a fost dezvoltată de Grupul de Lucru 11 (Working Group 11) al comitetului de standardizare IEEE LAN/MAN (IEEE 802). Folosit de sine stătător termenul IEEE 802.11 desemnează, în primul rând, standardul inițial 802.11 elaborat în 1997. În prezent termenul 802.11x desemnează, de asemenea, setul de amendamente aferente standardelor de bază.
Benzile de frecvență folosite de echipamentele WLAN sunt, în primul rând cele nelicențiate, de tip ISM: 2,4GHz (IEEE 802.11b, g, n) și 5 GHz (IEEE 802.11 a, n). Familia 802.11 prevede folosirea mai multor tehnici de modulație radio, dar are la bază același set de protocoale. Variantele cele mai populare sunt cele care au fost constituite în jurul amendamentelor IEEE 802.11b/g/n.
În primele etape de evoluție măsurile pentru asigurarea securității au fost intenționat lăsate la un nivel redus din cauza reglementărilor guvernamentale din Statele Unite cu privire la export. Algoritmii pentru controlul securității rețelelor și datelor au fost introduși ulterior prin amendamentul 802.11i atunci când legile au fost modificate. Unul dintre amendamente, 802.11n (2009), a propus o tehnică de modulație multi-flux, și folosirea tehnologiei MIMO, reușind mărirea substanțială a ratei de transmisie (50 …600 Mbps). Primul standard din familie larg acceptat în implementarea rețelelor locale fără fir (WLAN) a fost 802.11b, apoi 802.11g, iar acum este 802.11n.
În ceea ce privește securitatea, WLAN-urile au apărut cu tehnologia WEP, dar securitatea oferitaă de WEP a fost destul de slabă, WLAN-urile confruntându-se cu o serie de dezavantaje. Prin intermediul acestei lucrări vom observa slăbiciunea tehnologiei WEP în implementarea WLAN și ulterior vom aborda soluțiile importante de securitate precum WPA și WPA2. Pentru a realiza securitatea unei rețele WLAN sunt esențiale trei lucruri.
Integritatea, autentificarea și controlul accesului, detectarea și prevenirea intruziunilor reprezintă elementele cheie pentru a realiza securitatea unei rețele WLAN. În prezent tehnologiile de securitate WPA și WPA2 sunt deja integrate în cadrul WLAN împreună cu 802.1x și Radius pentru a furniza autentificarea. Însă securitatea rețelelor WLAN rămâne în continuare un risc major în privința dezvoltării rețelelor.
Studiile curente au demonstrat că rețelele WLAN pot oferi un nivel înalt de securitate chiar mai bun față de rețelele LAN, chiar și fără a utiliza soluțiile de securitate precum WPA, WPA2, 802.1x și Radius. Tehnologia WLAN este deja o soluție populară în cadrul IT, în majoritatea întreprinderilor, instituții guvernamentale și de asemenea în spațiul public, cum ar fi cafenele, hoteluri, spitale etc. Scalabilitatea, mobilitatea, flexibilitatea, costurile reduse, și faptul că sunt rapide și ușor de instalat, fac ca tehnologia WLAN să reprezinte un beneficiu major. Chiar daca există și anumite dezavantaje, care pot influența securitatea în cadrul tehnologiei WLAN, acestea apar de obicei în urma unor greșeli umane, care produc încălcarea integrității WLAN, printre acestea se pot enumera: un laptop furat, un PC afectat de un virus, etc.
CAPITOLUL 2. Noțiuni de bază – Standardul IEEE 802.11
2.1 Standardul IEEE 802.11
În anii 1990 au început studiile pentru elaborarea standardului IEEE, iar versiunea inițială finalizată a fost publicată în anul 1997. Versiunea inițială nu a mai fost utilizată de către dezvoltatori, accesând variantele publicate între 1999 și 2001, anume 802.11a/b/g, reprezentând versiuni îmbunătățite. În anul 2004 se lansează versiunea denumită 802.11n, fiind implementată pe echipamente de către dezvoltatori, nefiind o versiune definitivată.
După lansarea standardului în 1999, acesta devine o referință în cadrul rețelelor wireless, întrucât oferă o mobilitate benefică, dar și o conectivitate la prețuri foarte accesibile. Însă, acest standard deține și limitări, astfel rețelele standardului IEEE 802.11 sunt mai lente comparativ cu rețelele cablate. Ethernet împreună cu o bandă de frecvență de 2.4GHz, care de asemenea este divizată în 12 canale, acestea fiind suprapuse două câte două, reprezintă avantajul major al rețelelor cablate. Putem menționa și limitările provocate de consumul mult mai mare de energie, inclusiv de puterea electromagnetică emisă, astfel neputând garanta arii de acoperire foarte mari, fiind limitate la câteva sute de metri, iar în privința mobilității acestor rețele, aceasta devine foarte restrânsă. Însă, au fost dezvoltate noi tehnoogii, bazate pe standardul IEEE 802.11, care pot realiza o conexiune fără fir între două puncte distincte, aflate la sute de kilometri.
Din punct de vedere al securității, producătorii recomandă standardul de securitate IEEE 802.11i și utilizarea tehnologiei WPA2. Standardul IEEE 802.11 lucrează la nivelul protocoalelor de comunicație situate la nivelul gazdă-rețea în cadrul TCP/IP și inclusiv la nivel fizic și la nivelul legăturii de date. Astfel, se poate concluziona că implementările din cadrul IEEE 802.11 vor primi pachete situate la nivelul protocolului rețea, având sarcina de a le transmite și de a evita coliziunile cu stațiile din rețea care transmit în același timp.
Acest standard, 802.11 este inclus în familia standardelor dedicate comunicațiilor în rețelele locale, care conțin și alte standarde pentru diferite tipuri de rețele, precum standardul Ethernet 802.3. Acest din urmă standard cunoștea o mare popularitate în anii 1990, iar noul standard trebuia alcătuit astfel încât acesta să fie comptabil la nivelul transmisie cu standardul Ethernet.
2.2 Rata de transfer
În ceea ce privește rata de transferă oferită de noul standard 802.11, apărut ca variantă definitivă între 1997-1999, acesta se situa la oridinul megabiților pe secundă, o valoare redusă comparată cu standardul deja existent, Ethernet, în cadrul rețelelor cablate, care oferea valori între zeci și sute de megabiți pe secundă.
Începând cu anul 2012, odată cu apariția la nivel larg a echipamentelor de tipul Ethernet Gigabit, dar și echipamente ce oferă la transferul prin cablu, viteze până la 10Gbps, rețelele din cadrul standardului 802.11g ajung la viteze de 56Mbps, iar noul standard dorind viteze până la 450 Mbps.
Comparând ratele de transfer între cele două categorii de rețele, fără fir și cablate, cele din urmă vor avea câștig de cauză. Din cauză fenomenelor imprevizibile și diferitelor caracteristici ale mediului, precum zgomote, fenomene atmosferice (fenomene electrostatice, electrice, ceață etc.) rețelele wireless vor deține deficiențe în ceea ce privește rata de transfer a datelor. Cu toate acestea, rețelele fără fir pot fi singurele care se pot „duela” cu rețelele cablate locale din punct de vedere al ratei de transfer.
2.3 Aria de acoperire
Aria de acoperire reprezintă una din pricinpalele limitări în cadrul rețelelor wireless. Aceasta este influențată puternic de aria și topografia zonei pe care rețeaua va trebui să o acopere, dar și de aspecte privind capabilitățile echipamentelor, precum antenele utilizate. Limitarea rețelelor wireless este puternic influențată de mediu, astfel că instalarea acestora în zone împădurite, precum parcurile, unde radiațiile electromagnetice vor fi absorbite de către plante, vor limita puternic rețeaua. De asemenea, instalarea rețelei wireless într-o clădire, unde pereții sunt de beton, adică undele radio sunt reflectate puternic, vor duce la o limitare. Comparând limitările, putem afirma că o antenă de dimensiuni relativ mici și un preț decent, poate acoperi în interior o suprafață de 32 metri, față de suprafață din exterior, unde același echipament poate ajunge la o acoperire de 95 metri. Banda reprezintă și ea un factor al limitării ariilor, astfel aria este retrânsă în cazul utilizării unei benzi de 5 Ghz, în locului celei de 2.4 Ghz. Un exemplu important privind transmisiunea de date la mare distanță, prin intermediul Wi-Fi, a fost realizat de către Ermanno Pietrosemoli, utilizând antene foarte puternice și niște semnale direcționate, reușind astfel să realizeze transferul a 3 MB între două puncte situate la 382 kilometri.
2.4 Topologia rețelelor
Echipamantele rețelelor wireless sunt de două tipuri și anume: stații și puncte de acces. Echipamentele client sunt reprezentate de către stații (STA). Acestea pot fi încorporate: într-un adaptor de tip USB, card LAN specific unui desktop, card specific unui PC sau PCMCIA, ori în calculatoare portabile (laptop) sau diverse dispozitive. Punctele de acces (AP) realizează o punte între rețelele cablate și cele fără fir, astfel fiecare dispozitiv dintr-o rețea wireless deține o pereche de tipul emițător-receptor, denumit transceiver radio.
Figura 2.4.1 Rețea wireless
În momentul în care două stații se recunosc între ele și formează o rețea, putem spune ce se realizează un Set Serviciu Bază (SSB/BSS). Astel, rețeaua se poate configura în două metode:
Modul ad-hoc (rețea de tipul peer-to-peer): asemenea configurație este identică cu cea din cadrul rețelelor cablate, cu observația că lipsesc cablurile. În acest mod, două stații sau mai multe pot realiza o comunicare fără existența obligatorie a unui punct acces. În momentul formării unei rețele de tip ad-hoc, putem spune că se realizează un Set Serviciu Bază Independent (SSBI/IBSS).
Figura 2.4.2 Mod Ad-Hoc & Rețea Structurată
Modul rețea structurată (rețea client-server): asemenea configurație constă în diverse stații care sunt conectate la un punct de acces, dar care deține un comportament asemăntor unei punți într-o rețea necablată. În acest mod, un Set Serviciu Bază (BSS) lucreză în modul denumit Infrastructură.
În momentul în care mai multe seturi de servicii de bază sunt suprapuse (sau nu), dar care dețin fiecare un punct de acces și sunt conectate împreună prin intemediul unui sistem de distribuție, care poate fi de exemplu un LAN Ethernet cu fir, se constituie un Set Serviciu Extins (SSE/ESS). E necesar ca în cazul seturilor ale căror zone de acoperire se suprapun și astfel apar interferențe, să se transmită pe canale diferite.
Distanța de aproximativ 100 metri este distanța reprezintativă pentru punctul de acces pentru a interacționa cu stațiile, depinzând și de rata de transmisie a datelor. Pentru un set serviciu extins, raza este limitată de raza de acoperire a sistemelor de distribuție cablate. Însă, dacă serviciile extinse utilizează conexiuni wireless care dețin antene directive, raza acestor se poate mări până la ordinul kilometrilor.
Standardul specific rețelelor wireless, IEEE 802.11, realizat în anul 1997 și îmbunătățit în anul 1999, specifică trei tehnologii specifice nivelului fizic (PHY):
infraroșu difuz – la viteza de 1Mbps
spectru împrăștiat cu salturi în frecvență (FHSS)
spectru împrăștiat tip secvență directă (DSSS).
Ultimele două tehnologii, FHSS și DSSS, lucrează în banda de 2.4Ghz și pot oferi viteze pînă la 2 Mbps. Cu toate acestea, nu s-au bucurat de un succes extraordinar pentru că rețelele cablate din aceeși perioadă ofereau viteze pînă la 10 Mbps la costuri mult mai reduse.
Infraroșu
Transmisiunea în infraroșu, o caracteristică a standardului IEEE 802.11, nu poate oferi distanțe majore pentru realizarea transmisiunii, având nevoie de o vizibilitate directă între emițător și receptor, semnalele infraroșu nu pot trece de ziduri. În cadrul acestei tehnologii se utilizează o modulație a impulsurilor în poziție, denumită PPM (Pulse Position Modulation). Dat fiind distanța mică de transmisie, această tehnologie nu a prezentat un interes major în rândul fabricanților de echipamente wireless.
FHSS (Frequency Hoping Spread Spectrum)
În cadrul comunicațiilor RF, împrăștierea spectrală este definită ca o diviziune în frecvență, timp sau pe baza unei scheme de codare, în cadrul benzii disponibile. Astfel mesaje care vor fi transmise, vor fi divizate în pachete ce urmează a fi transmise în anumite segmente ale spectrului. Metoda în care se realizează o divizare a spectrului de frecvență în anumite canale sau diferite frecvențe poartă denumirea de Frequency division spread spectrum. În cadrul acestei metode, mesajul dintr-un singur pachet va fi trimis pe un canal specific, iar dispozitivul radio va selecta un alt canal, proces denumite salt de frecvență. Pentru a putea transmite tot mesajul, proces se va repeta în același mod, astfel se va efectua o împrăștiere a conținutului mesajului pe tot spectrul disponibil.
DSSS (Direct Sequence Spread Spectrum)
Aceste sisteme lucrează în banda ISM de 2.4 GHz. Modulația diferențială binară cu comutarea fazei (DBPSK) este utilizată în cadrul sistemelor ce oferă transmisiuni la o viteză medie de 1Mbps, iar pentru sistemele cu viteze de 2Mbps se utilizează o modulație diferențială în cuadratură cu comutarea fazei (DQPSK). În cadrul acestor sisteme, împraștierea benzii se realizează în divizarea în 11 subcanale, iar lățimea benzii pentru fiecare subcanl are 11MHz.
2.5 Clasificare standarde
Frecvența de bandă reprezintă un factor important ce divizează rețelele wireless în două categorii. Primele tehnologii apărute utilizează banda de frecvență de 2.4 GHz, iar variantele ulterioare îmbunătățite folosesc o bandă de frecvență mai lată de 5 GHz.
Prima categorie reprezintă cea mai frecventă alegere și din aceasta fac parte standardele: 802.11b (11Mbps) – IEEE sau The Institute of Electrical and Electronics Engineers și 802.11g (54 Mbps).
Din cea de a doua categorie, care utilizează banda de frecvență de 5 GHz, fac parte standardele 802.11a și 802.11h, ambele reușind să transfere cu o rată de 54 Mbps.
802.11b – ratificat în 16 septembrie 1999 de către IEEE, fiind unul dintre cele mai populare standarde destinate rețelelor fără fir. Acest standard utilizează tipul de modulație DSSS și lucrează în banda de frecvențe nelicențiate, de tipul ISM, licențele nefind necesare atâta timp cât se folosesc echipamente standardizate. În ceea ce privește limitările acestui standard putem enumara: la ieșire puterea de 1 Watt, iar în privința modulațiilor trebuie să aibe dispersia spectrului în intervalul de frecvență 2.412 – 2.484 GHz. Viteza oferită de acest standard maximă de 11 Mbps, în prezent fiind utilizat cu o viteză practică de aproximativ 5 Mpbs.
802.11g – ratificat în anul 2003, reprezintă în prezent prootocolul standard în rețelele fără fir, fiind implementat pe fiecare laptop ce deține o placă wireless, inclusiv pe alte echipamente portabile. Acest standard utilizează, asemenea standardului 802.11b, subbanda de frecvențe din cadrul ISM, cu diferența că folosește o modulație de tip OFDM (Orthogonal Frequency Division Multiplexing). La capitolul viteză de transmisie a datelor, standardul oferă o viteză de 54 Mbps, dar în practică poate atinge doar 25 Mbps. Pentru a se putea realiza o compatibilitate cu standardul 802.11b, trecând astfel la o modulație de tip DSSS, viteză scade la o valoare de 11 Mpbs, eventual și mai mică.
802.11a – ratificat în 16 septembrie 1999, utilizează o modulație de tip OFDM și atinge o viteză maximă de transfer a datelor până la 54 Mbps, în practică ajungând la 27 Mbps. Standardul lucrează tot în banda de tip ISM, în intervalul 5.745 – 5.805 GHz, dar și în banda UNII (Unlicensed National Information Infrastructure) în intervalul 5.170 – 5.320 GHz. Astfel operând în cadrul acestor benzi, nu se poate realiza compatibilitatea cu protocoalele 802.11b și 802.11g. Pentru a putea utiliza în exterior, un echipament configurat cu acest protocol este necesară consultarea cu autoritățile. Cu toate acestea, deși echipamentele au un cost redus, nu sunt la fel de populare comparativ cu cele din standardul 802.11b sau 802.11g.
802.11h – reprezintă varianta europeană pentru standardul american, fiind denumit în Statele Unite „problema de compatibilitate în Europa”. Printre cele mai importante și specifice funționalități ale acestui standard, putem enumera: puterea variabilă a transmițătorului și selectarea dinamică a frecvenței, funționalități pe care ETSI (European Telecommunications Standards Institute) le mandatează în piața europeană pentru a obține o putere decentă a transmițătorului în cadrul sistemelor utilizate.
802.11c – reprezintă tehnicile de conectare a diferitelor tipuri de rețele prin intermediul mijloacelor wireless, denumite și metode de wireless bridging.
802.11d – sau World Mode, care face referire la diferențele regionale apărute în cadrul tehnologiilor, adică numărul, disponibilitatea și anumite zone ale canalelor date în utilizare. În ceea ce privește partea de utilizator, acesta va trebui să opteze țara în care dorește să utilizeze placa wireless, iar restul va fi realizat de către driver.
802.11e – se ocupă de definirea calității serviciilor, Ouality of Service și de extensiile de streaming pentru standardele 802.11a/h/g. Scopul acestuia este îmbunătățirea standardelor anterioare pentru utilizarea aplicațiilor de multimedia și voce, precum și telefonie în rețelele IP și Interent. Astfel pentru a putea fi folosite cu acest scop, rețeaua va trebui să accepte ratele garantate specifice fiecărui serviciu, având întârzieri cât mai reduse.
802.11f – acest standard realizează tehnicile de schimbare a standardului între punctele de acces (Roaming), celelalte detalii fiind acoperite de către IAPP (Inter Access Point Protocol).
CAPITOLUL 3. Standarde de securitate
Pentru soluționarea problemelor apărute în domeniul securității rețelelor fără fir s-a conceput standardul 802.11i, care integrează diverse soluții în domeniul securității. Principalele aspecte și funcționalități oferite de acest standard sunt: IEEE 802.1x, EAP, RADIUS, dar și o criptare realizată prin intermediul algortimului AES.
Cu toate beneficiile aduse, acest standard deține o complexitate foarte ridicată, fapt ce a dus la o finalizare de durată, astfel după procese lungi de negocieri IEEE a lasant standardul în anul 2004. Această durată prelungită a etapei de standardizare pentru 802.11i, demonstrează problema securității sporite în domeniul producătorilor cât și organizațiilor. Acest fapt este datorat dezastrului aproape total întregistrat în urma primei tehnici standardizate de criptare pentru rețelele fără fir, denumită Wireless Equivalent Privacy (WEP). Acest standard având la bază un cifru RC4 ce deține chei statice și un vector de inițializare (IV), modificându-se astfel pentru fiecare pachet din cadrul transmisiei. Acest protocol, WEP, deține anumite puncte slabe majore în cadrul implementării vectorului de inițializare, oferind atacatorilor posibilitatea de interceptare a unui număr consistent de pachete de date, astfel încât să reconstruiască cheia de decriptare. Ulterior au fost realizate instrumente de analiză care pot realiza această sarcină de captare de pachete în mod automat.
Producătorii echipamentelor și tehnologiilor WLAN au fost nevoiți să compenseze vulnerabilitățile evidente apărute în cadrul standardului WEP, prin intermediul unei noi soluții denumite Wi-Fi Protected Access (WPA), dezvoltată în cadrul Wi-Fi Alliance. Printre funcționalitățile cheie oferite ce acest standard putem enumera: Weak Key Avoidance, autentificare de tipul EAP, dar și Temporal Key Integrity Protocol (TKIP). TKIP a fost conceput având ca scop evitarea problemelor majore oferite de WEP, astfel înlocuid cheia statică cu chei care pot modificate dinamic, dar și prin implementarea unei verificări a integrității mesajelor ca o variantă îmbunătățită. Pentru a se realiza compatibilitea cu WEP, TKIP utilizează cifrul RC4.
Wi-Fi Alliance va utiliza termenul de WPA 2 pentru a face trimitere la realizarea implementării tuturor elementelor obligatorii ale standardului 802.11i.
3.1 Servicii de securitate
Serviciile de securitate au menirea de a contabiliza atacurile de securitate și de a utiliza unul din mecanismele de securitate pentru a împiedica aceste atacuri.
Se disting patru obiective majore și sunt considerate servicii de securitate care pot fi furnizate opțional în cadrul modelului de referință OSI. Aceste sevicii pot fi folosite la anumite nivele în cadrul modelului OSI. Un nivel arhitectural al modelului OSI poate fi asigurat din punct de vedere al securității prin combinarea unuia sau mai multor servicii, servicii care pot fi alcătuite la din anumite mecanisme.
Primul obiectiv se referă la confidențialitatea informației, fiind cel mai vechi obiectiv al criptologiei. Nu trebuie realizată o confuzie între criptografie și confidențialitate, criptografia realizează asigurarea mai multor obiective dar nu păstrează secretă informația. Confidențialitatea se definește ca fiind protecția datelor transmise în fața atacurilor pasive.
Integritatea presupune nealterarea datelor de către o entitate neautorizată. Pentru a asigura integritatea datelor trebuie să fie detectată manipularea de date de către o entitate neautorizată.
Autentificarea conține două tipuri distincte: autentificarea entităților și respectiv autentificarea informației. Autentificarea entităților oferă unui participant la cominicație o garanție asupra identității. Autentificarea informației oferă o garanție asupra sursei de de proveninență, în mod implicit garantând și integritatea informației. Autentificarea este dependentăde un factor temporal, informația stocată fiind supusă unui test de integritate pentru a se decide dacă a fost sau nu compromisă, dar testul de autenticitate nu poate fi realizat.
Cel de al patrulea obiectiv este nerepudierea care previne ca nici o enititate să nu refuze să recunoască un serviciu executat. Cu alte cuvinte, dacă o entitate neagă că ar fi trimis o anume informație, enitatea care recepționeză informația respectivă poate demonstra unei părți neutre că informația provine într-adevăr de la entitatea în cauză.
3.2 Mecanisme de securitate
Modelul de referință OSI a introdus o serie de opt mecanisme de securitate, care pot fi utilizate combinat sau fiecare în parte, cu scopul de a realiza servicii de securitate.
Mecanismul de criptare este utilizat cu scopul de a face datele inteligibile doar de către utilizatorii autorizați. Evident o enitate sau un utilizator autorizat va deține o cheie cu care va putea realiza decriptarea. În prinicpiu pentru a realiza confidențialitatea este utilizată criptarea datelor. Totuși criptarea este folosită și pentru a asigura anumite serivicii de securitate. În ceea ce privește criptarea, modelul de referință OSI permite algoritmi simitrici dar și nesimetrici care folosesc chei publice.
Mecanismul de semnătură digitală are scopul de a da siguranța că datele au fost trimise chiar de către semnatar. Pentru acest mecanism sunt definite două proceduri:
Procedura de semnare a unei entități de date;
Procedura pentru verificarea semnăturii;
În ceea ce privește criptografia de tip asmietric, semnătura digitală se realizează prin calculul unei funcții de dispersie pentru datele ce urmează a fi semnate, iar apoi rezultatul calculului este criptat cu ajutorul unei componente private a cheii asimetrice. Momentul în care va fi emisă semnătura digitală va influența valoarea finală, prevenind astfel falsificarea datelor prin procedeul de retransmisie. În ceea ce privește semnătura digitală, ea este realizată numai cu niște informații de tip personal ale semnatarului, totuși procedură de verificare este publică.
Mecanismul de control al accesului pleacă de la premisa că este cunoscută identatea solicitantului. Mecanismul în sine presupune verificarea posibilității de acces asupra enităților.
Acest mecanism intervine în momentul în care este identificat un acces de tip neautorizat, de obicei prin generarea de alarme sau anumite înregistrări referitoare la incident. În ceea ce privește politica de control al accesului, ne putem baza soluțiile de mai jos:
Lista drepturilor de acces (entitate, resursă)
Parole
Capabilități
Etichete de securitate
Durata accesului
Timpul de încercare a accesului
Ruta (calea de încercare a accesului)
Mecanismul de integritate a datelor asigură integritatea datelor și presupune că datele nu pot fi modificate, șterse sau amestecate în timpul transmisiei. Acest tip de mecanism se bazează pe următoarele două proceduri:
Procedura pentru emisie: ce presupune ca expeditorul să adauge o informație adițională, informție ce depinde numai de datele transmise.
Procedura pentru recepție: ce preusupune ca receptorul să genereaze aceeași informației adițională pentru a putea realiza o comparație cu cea primită.
Mecanismul de autentificare mutuală se utilizează pentru a putea demonstra identitatea fiecărei identități. Pentru realizarea acestui mecanism putem utiliza tehnici de criptare sau parole. Dacă se folosesc tehnicile criptografice, în general ele vor fi îmbinate cu anumite protocoale, cu ar fi protocolul de interblocare: „hand-shaking”, astfel realizându-se o protecție în ceea ce privește înlocuirea datelor. Putem enunța următorul principiu: entitatea X trimite, cifrat sau nu, identitatea sa către enititatea Y, entitate ce va genera o anumită valoare la întâmplare și o va trimite entității inițiale, X. Entitatea X va fi nevoită să descifreze valoarea primită cu o cheie a ei, privată, și apoi să trimită către Y, care va confirma corectitudinea descifrării.
Mecanismul de „umplere” a traficului este utilizat în scopul asigurării unor nivele de protecție împotriva analizei traficului, acest mecanism implică metodele de mai jos:
Generarea unui trafic fals
Umplerea pachetelor de date transmise cu date redundante
Transmiterea de pachete și spre alte destinații în afara celei dorite
Mecanismul de control al rutării funcționează pe premisa că anumite rute dintr-o rețea pot fi mai sigure în comparație cu alte rute. Astfel, acest mecanism oferă posibilitatea alegerii, în mod dinamic sau într-un mod prestabilit, a unei rute convenabile ce respectă criteriile de securitate. De asemenea, acest mecanism poate fi utilizat și în scopul recuperării datelor, ca un suport pentru serviciile ce asigură integritatea.
Mecanismul de notorizare. Pentru utilizarea acestui mecanism se impune stabilirea unei
entiăți noi, numită notar, entitate care este văzută cu un nivel ridicat de încredere de către toate celelalte entități. Când se realizează un transfer de date între entități, datele sunt transmise prin intermediul acestei enități, numită notar.
3.3 Tehnici de securitate
După implementarea tehnicilor de securitate într-o rețea, persoanele neautorizate nu vor mai putea accesa sau intercepta informațiile și astfel informațiilor transmise nu vor putea fi falsificate sau utilizate de către servicii destinate unor categorii rău intenționate.
Dintre tehnicile de securitate implementate într-o rețea, amintim:
Protecția fizică a dispozitivelor de rețea și a liniilor de transmisie la nivelul fizic
Proceduri de blocare a accesului la nivelul rețelei
Aplicarea unor tehnici de criptare a datelor
Lipsa unor politici de securitate poate duce la o ineficiență a mecanismelor de securitate și
astfel nu ar corespunde strategiei și obiectivelor impuse la proiectarea rețelei. O politcă de securitate realizată corect, conține nivele de securitate de mai jos:
– Firewall-ul constituie primul nivel de securitate și are scopul asigurării unei conexiuni sigure la Internet.
– Prin folosirea de rețelele private virtuale, datele necesare transmisiei vor fi criptate prin realizarea unui tunel de securitate. Cu alte cuvinte, criptarea datelor reprezinta cel de al doilea nivel de securitate. Criptarea datelor conferă un al doilea nivel de securitate.
– Securitatea la nivelul aplicație constituie ultimul nivel de securitate
3.4 Securitatea prin firewall
În rețele de calculatoare, un firewall, denumit și paravan de protecție, reprezintă un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite. Un firewall este un dispozitiv poziționat la granița dintre două rețele și deține următoarele proprietăți:
– Traficul realizat între două rețele va trece obligatoriu prin firewall
– Dacă există o politică de securitate locală, atunci este permisă doar trecerea traficului autorizat
– Sistemul însuși este imun la încercările de penetrare a securității acestuia
Firewall-ul este dispozitivul care controlează accesul între Internet și o rețea privată. Fără existeța unui firewall în rețea, această ar fi predispusă la atacuri exterioare de penetrare și astfel fiecare stație din rețeaua privată ar putea fi afectată. Utilizarea unui firewall asigură numeroase avantaje, printre acestea se enumeră creșterea nivelului de securitate al calculatoarelor din rețea.
Concentrarea securității: din punct de vedere al administrării, adică modificarea unor programe, inclusiv instalarea unui software adițional, firewall-ul reperzintă o soluție mai puțin costisitoare. Ca o conluzie, un firewall este o soluție relativ simplă în ceea ce privește implementare, respectiv administrarea, iar software-ul adițional se execută în sistemul firewall.
Instituirea unei politici de acces în rețea: pentru accesul într-o rețea privată sunt necesare anumite mijloace de control al accesului, iar aceste mijloace sunt furnizate de către firewall.
Protecția serviciilor vulnerabile: Traficul spre/dinspre Internet poate fi monitorizat și poate furniza anumite statistice în legătură cu rețea, dacă trece printr-un firewall. Pentru a realiza verificarea firewall-ului la încercările de atac asupra rețelei, sunt folosite datele colectate în urma filtrarii traficului prin firewall. În ceea ce privește colectarea de statistici cu privire la folosirea rețelei, ele sunt utile pentru a putea analiza riscurile, dar și pentru o dezvoltare continuă a rețelei private. Firewall-ul conține și o serie de dezavantaje, cum ar fi: blochează sau restricționează accesul la anumite servicii, considerate vulnerabile.
Protecția scăzută față de viruși: Un alt dezavantaj major în utlizarea firewall-uri ar fi că au o protecție scăzută față de viruși. Dacă un utilizator local, aduce din Internet anumite programe infectate de viruși, atunci firewall-urile nu pot oferi o protecție completă. Programele infectate, pot fi criptate sau comprimate în diverse moduri, iar firewall-ul nu le poate detecta sau scana.
Viteza de comunicație cu exteriorul: Firewall-ul limitează traficul dintre rețeaua internă și cea externă. Însă, în rețelele cu linii mari de viteză, acest lucru nu reprezintă o problemă.
Fiabilitatea protecției firewall: O rețea protejată prin firewall își concentrează securitatea într-un singur loc spre deosebire de varianta distribuirii securității între mai multe sisteme. Dacă firewall-ul este compromis, sistemele din rețea vor fi grav afectate. În ciuda tuturor acestor dezavantaje, se recomandă ca protejarea resurselor unei rețele să se realizeze și prin intermediul firewall-urilor.
Figura 3.1 Securitate prin firewall
CAPITOLUL 4. Atacuri în rețele LAN/WLAN
4.1 Definiția atacului
În ceea ce privește atacul, îl putem defini ca o metoda continuă de asaltare împotriva unui sistem, mai exact asupra securității acestuia, având ca scop final distrugerea politicilor de securitate. Putem considera atac asupra unui sistem, orice tip de activitate care poate produce daune, modifică, distruge sau extrage date cu caracter sensibil. Persoanele sau utilizatorii care pot provoca aceste atacuri dăunătoare sunt denumiți hackeri. Orice tip de activitate care pune în pericol funcționalitatea, integritatea, accesibilitatea unui sistem, reprezintă un pericol asupra rețelei.
Putem defini vulnerabilitatea ca fiind un defect în configurația, realizarea sau în cadrul managementului unui sistem, ducându-l astfel la un grad ridicat asupra amenințărilor din rețea. Vom întâlni vulnerabilități în orice tip de sistem, iar acestea vor fi utilizate pentru a garanta accesul la date si informații cu caracter sensibil. Astfel putem rezuma definiția vulnerabilității ca fiind o metodă de exploatare a sistemului.
Putem distinge două categorii de atac: active și pasive.
În privința celor pasive putem afirma faptul că sunt foarte greu de detectat, pentru că după activitatea lor, acestea nu lasă niciun fel de urmă. Acestea realizează o scanare a traficului și o monitorizare continuă. Pentru a exemplifica aceste atacuri, putem denumi atacurile de tip sniffing pachete de date și analiza traficului.
Celălalte tipuri de atac, cele active, sunt ușor de detectat, însă pot produce daune considerabile în sistem, pentru că ele au ca scop modificarea sau distrugerea neautorizată a datelor din sistem. Ele pot include modificarea datelor transmise sau stocate, sau chiar crearea noilor fluxuri de date pentru a obține acces la calculator. Exemple de atacuri active sunt: atacurile DoS, DDoS, virușii, viermii, troienii, backdoor-urile, replay-ul, spargerea parolelor, ingineria socială, spoofing-ul, sniffing-ul și alte atacuri bazate pe protocoale.
Putem categorisi atacurile și în funcție de tipul de proveniență, astfel vom avea: atacuri interne și externe. Atacurile externe le putem împărți în atacuri structurate și nestructurate.
În ceea ce privește atacurile interne, acestea provin din interiorul companiilor, fiind realizate de anumiți utilizatori nemulțumiți. Ei pot deține un avantaj asupra rețelei, astfel având posibilitatea de a masca atacul ca fiind un proces simplu și normal în cadrul rețelei.
Atacurile externe sunt realizate de persoane care nu au posibilitatae de a accesa rețeaua companiei, astfel acest tip de atac are la baza diferite tehnici si planuri complexe. Utilizatorul care intenționează să realizeze un atac extern va avea nevoie de informații despre rețea, comparativ cu atacurile interne unde există deja anumite infomații cunoscute despre rețea.
În ceea ce privește atacul extern structurat, utilizatorul rău intenționat deține un plan elaborat având ca scop alterarea sau distrugerea informațiilor rețelei atacate. Atacatorul trebuie să dețină infomații complexe despre rețea și arhitectura ei, informații despre sistemul de securitate și să poată modifica anumite coduri complexe pentru a-și atinge scopul final de exploatare a vulnerabilității.
Atacurile nestructurate pot fi realizate de către indivizi cu o experiență mai slabă. Aceștia folosesc diferite softuri care sunt disponibile în mediul online pentru realizarea atacurilor, fără a deține informații despre soft sau despre cum l-ar putea modifica și adapta în funcție de rețeaua pe care o atacă. Acești atacatori utilizează resursele existente, adică: diverse script-uri și/sau parole, astfel obținând acces pentru a rula diferite programe care vor provoca daune rețelei.
Figura 4.1.1 Topul atacurilor în 2016
4.2 Etapele unui atac
Pentru realizarea unui atac, trebuie efectuați următorii pași:
1. Footprinting
Reprezintă primul pas în efectuarea unui atac, unde atacatorul va încerca să adune cât mai multe date. Acest pas constă în obținerea unor date publice, determinarea arhitecturii rețelei, adrese IP (domeniul), server DNS, routere, sisteme de operare ș.a.m.d.
2. Scanarea porturilor
Acest pas are scopul găsirii unei vulnerabilități, precum un port liber și deschis. Putem defini mai multe tipuri de scanări:
• Vanilla/SYNC – prin această tehnică se vor trimite pachete de tipul SYN TCP care vor încearca să se conecteze continuu prin toate porturile 0-65535.
• Strobe – fiecare sistem de operare fie Windows, fie UNIX, deține anumite porturi standarde de servicii. În cadrul acestei tehnici, aceste porturi vor fi testate.
• Sweep – scanarea unui domeniu considerabil de adrese IP care are ca scop descoperirea unui sistem vulnerabil cu port liber.
• Scanarea pasivă – se realizează o scanare/analiză asupra traficului realizat de rețea pentru a verifica starea porturilor.
• Scanarea UDP – se vor trimite pachete de tip UDP către host-ul victimă, cu scopul de a analiza porturile libere.
• Ocolirea prin FTP – atacatorul are nevoie de protecție asupra locației, astfel scanarea este realizată printr-un server de tip FTP.
• Scanarea FIN – sunt trimise pachete FIN, ce pretind închiderea sesiunilor, acestea fiind trimise către toate porturile victimei.
3. Enumerarea
În cadrul acestui pas sunt folosite diferite tehnici având ca scop determinarea tuturor aplicațiilor și serviciilor care sunt active pe hostul victimei, care nu sunt utilizate în diferite momente de timp, descoperirea unor useri cu protecție slabă sau diferite hosturi neprotejate. Acest pas este foarte accesbil atunci când vorbim despre rețele care nu au un grad ridicat de securitate.
4. Obținerea accesului
Pentru a realiza acest pas, atacatorul utilizează de obicei un cal troian împreună cu un software specific pentru a decripta parolele. Cu accesul în rețea garantat, atacatorul poate distruge și/sau altera datele, dar poate produce efecte și la nivelul serviciilor din rețea precum adăugarea sau eliminarea acestora.
Atacurile de tip acces sunt împărțite în:
• Acces neautorizat la sistem – se realizează prin punerea în execuție a unor scripturi sau linii de cod dăunătoare, având ca scop final, accesul la sistem.
• Escaladarea neautorizată a privilegiilor – acesta este un atac destul de frecvent, scopul fiind evitarea tuturor restricțiilor de bază, astfel ajungând la tipul de utilizator care deține drepturi de administrator, reazultatul final fiind accesul garantat asupra rețelei.
• Manipularea neautorizată a datelor – acest tip de atac are ca scop citirea, alterarea sau distrugerea datelor cu caracter sensibil.
5. Escaladarea privelegiilor
Aceasta metodă are ca scop descoperirea tehnicilor de a obține accesul către un user privilegiat, evident dacă acest lucru nu s-a realizat în pasul de mai sus. În această etapă se vor căuta în diferite registre sau documente, date despre useri, se vor folosi diferite software-uri de decriptare, scopul final fiind de a obține acces la datele unui utilizator cu drepturi privilegiate.
6. Instalarea backdoor-ului
Odată pătruns în sistem, atacatorul are posibilitatea de a integra în calculatorul infestat, un anumit software, denumit backdoor, care lasă posiblitatea accesării în viitor, fără a fi necesar să se parcurgă aceeși pași din nou.
7. Eliminarea urmelor după activitățile efectuate
În acest pas, atacatorul distruge orice urmă, pentru a nu da posibilitatea administratorului de sistem de găsi probe asupra acestui atac.
4.3 Vulnerabilitățile
Așa cum a fost menționat în paragrafele anterioare, am definit vulnerabilitatea ca fiind un defect ușor de manipulat pentru a produce diverse pagube. Vulnerabilitățile sunt prezente mereu, sub diferite forme, apariția lor având o multitudine de cauze. Putem afirma inclusiv faptul că un sistem cât mai complex deține numeroase vulnerabilități. O altă cauză o reprezintă familiaritatea din punct de vedere hardware și sotfware în cadrul sistemelor de operare utilizate. Numărul mare de conexiuni în cadrul sistemului de operare duce la un număr mare de puncte critice. Aceste puncte critice pot fi considerate ca fiind: servicii, conexiuni, protocoale, porturi, etc. Utilizarea unor parole deficiente, permite atacatorului un atac de tip brute force și ulterior recunoașterea parolei. Asta înseamnă că va fi nevoie de un management bun în privința securității datelor sensibile, precum parolele, evitând astfel utilizarea parolei în diferite puncte din sistem. Vulnerabilitățile sunt prezente în orice sistem de operare, iar dacă atacatorul deține informații despre sistemul de operare al persoanei pe care o va ataca, acestuia îi vor utile și în cazul unui viitor atac. Prin simpla accesare a unor site-uri necunoscute, fără a conștientiza utilizatorul, sunt instalate în mod predefinit diverse software-uri dăunătoare, care pot facilita accesul atacatorului. Putem afirma că cele mai întâlnite vulnerabilități le reprezintă defectele sau problemele în diferite aplicații, pe care programatorul le-a ignorat, dar care pot fi utilizate de către atacator. Inclusiv datele de intrare pot fi folosite cu scopuri rău intenționate.
Există mai multe tipuri de vulnerabilități:
1. Violarea siguranței memoriei
Acest tip folosește memoria RAM rezervată unei aplicații într-un scop neprecizat de aceasta. Putem detalia două exemple de vulnerabilități de acest tip:
• Buffer overflow
Este o vulnerabilitate care permite alterarea unei valori a variabilei din memorie adiacentă cu valoarea variabilei de intrare, astfel putem cunoaște așezarea variabilelor în memorie. Un astfel de atac se realizează prin introducerea unor date cu mărimi mult mai mari față de cele cunoscute de program.
• Dangling pointers
Atacatorul poate folosi anumite zone libere din memorie pentru a descoperi valori ale diverselor variabile ce sunt mascate de program. Dangling pointers specifică zonele libere din memorie.
2. Erori de validare a datelor de intrare
Acestea sunt cele mai utilizate vulnerabilități, și dețin o serie de metode specifice pentru realizarea unui atac:
• Defecte ale formatului șirului de caractere
Aceste defecte sunt utilizate pentru a arată ce conține stiva sau anumite zone din memorie, realizându-se prin adăugarea unor jetoane în locul șirului de caractere, jetoane ce indică zonele din memorie.
• Injecția SQL
Aceste vulnerabilități în SQL permit citerea bazelor de date de către atacator, având astfel acces la date cu caracter sensibil/confidențiale. Această metodă se poate realiza prin adăugarea codului SQL în spațiul de input, care în mod normal sunt niște comenzi interzise.
• Injecția codului
Funcționează asemănător cu principiul injecției SQL, însă sunt mai multe varietăți de exploatare a acestei vulnerabilități. Codul păgubitor poate fi utilizat în aproape orice limbaj de programare, cele mai frecventate fiind scripturile de tipul HTML și PHP. Cu ajutorul acestora putem copia diferite fișiere cookie, sau putem include fișierele ce au destinație locală în liniile de cod.
• Directory traversal
Prin intermediul acestei vulnerabilități, atacatorul poate avea acces la diferite fișiere care sunt stocate pe un server web, acestea nefiind accesibile în mod normal.
• XSS (Cross site scripting)
Atacatorul poate obține fișiere de tip cookie, necesare pentru a se autentifica, ca utilizator. Acest lucru se poate realiza prin adăugarea unor linii de javascript în paginile accesate de utilizatori.
3. Race Conditions
Atunci când două semnale sau ajung în același timp, sau se luptă pentru alterarea datelor de output, putem spune că vorbim de vulnerabilitate de tipul Race Conditions și are loc atunci când doi useri alterează în același timp un fișier (același). Putem spune că există două tipuri:
• TOCTTOU (time-of-check-to-time-of-use)
O astfel de vulnerabilitate este prezentă atunci când un user modifică scriptul unei pagini web, dar în același timp, administratorul observă acest fapt și blochează acțiunile de editare ale paginii. Însă din cauză că administratorul a blocat editarea după ce user-ul începuse acțiunea de editare, modificările asupra paginii vor rămâne salvate.
• Symlink race
Atacatorul poate realiza un link care duce către un fișier care pentru el este imposibil de accesat. Dacă un user cu drepturi privilegiate va creea un fișier care deține același nume cu link-ul realizat de atacator, acesta poate modifica datele fișierului spre care va fi retransmis link-ul, poate chiar inserând condul realizat de atacator.
4. Confuzia privilegiilor
Sunt momente în care un user poate utiliza privilegiile care aparțin altor useri pentru a-și atinge scopurile, reprezentând astfel o tehnică de a escalada privilegiile. Putem exemplifica prin faptul că un user nu poate pune în execuție o anumită comandă, în ce timp ce sistemul o poate realiza. Astfel user-ul utilizează metodele standard pentru a arată sistemului cum să execute diferite instrucțiuni, dar alterând comenziile în funcție de nevoile lui, ajungându-se la instrucțiunea care inițial îi era interzisă. Astfel de defecte sunt:
• XSRF (cross-site request forgery)
Sunt asemănătoare cu vulnerabilitățile de tipul XSS, aici utilizatorii nefiind exploatați, interesul fiind asupra browserului. Un exemplu simplu îl reprezintă tag-ul HTML al unei imagini unde pot fi conținute diferite variabile și nu link-ul imaginii propriu-zise. Astfel victima va accesa pagina fără a vedea imaginea, însă acțiunea este realizată fără a conștientiza.
• FTP bounce
Prin intermediul serverelor FTP, atacatorul poate realiza diverse acțiuni către/în alte servere, care în mod direct nu erau permise.
5. Eșecurile interfeței utilizatorului
Aceste erori nu au fost prevăzute de către programator și astfel prin intermediul lor, atacatorii pot descoperi informații cu caracter sensibil, modificând datele de intrare.
4.4 Metode generale de securitate
În ceea ce privește o rețea de calculatoare, asigurarea securității datelor cu caracter sensibil stocate se poate realiza în urma unor proceduri de manevrare a datelor pentru a opri distribuirea lor fără intenție, dar și prin luare unor decizii de duplicare a datelor pentru a le putea accesa în urma unor probleme. Pentru a realiza securitatea într-o rețea de calculatoare trebuie definite următoarele elemente: mecanisme de securitate, reguli de securitate și protecție și o lista ce curprinde cerințele de securitate. Putem împărți modelul de securitate în trei nivele: securitatea la nivel fizic, o conexiune sigură, dar și securitatea la nivel logic.
Pentru a putea determina zonele sensibile, unde securitatea este scăzută se vor face diverse teste. Acestea trebuie realizate în mod regulat, deoarece rețeaua este supusă amenințărilor în mod periodic. În cele mai multe situații, la nivel financiar, datele stocate sunt mai valoroase decat prețul echipamentelor utilizate. Atacatorii au posibilitatea de a accesa datele sensibile prin intermediul PC-urilor. Acestea trebuie sa fie protejate prin intermediul a două nivele de protecție folosind parole.
• BIOS – Se stopează alterarea setărilor BIOS fără a menționa parola corectă
• Autentificare – Oprește accesul nepermis la rețea.
4.4.1 Securitatea sistemului de fișiere
Fiecare sistem ce conține fișiere va păstra o evidență a resurselor utilizate, în ceea ce privește întregistrările clasificate după timp și dată, acestea sunt prezente doar în sistemele cu jurnale. Sistemul FAT 32, destul de uzual nu deține niciun fel de jurnal sau metodă de criptare. Dacă avem nevoie de un grad de securitate mai ridicat este impusă utilizarea sistemului de fișiere NTFS.
În ceea ce privește politicile de securitate, acestea oferă o orientare la modul general, iar în cazul unor situații imprevizibile, ajută userii standard și cei cu drepturi privilegiate. Putem mențona trei politici de securitate:
• Prevenirea reprezintă cea mai eficientă politică de protejare pentru datele stocate. Prin procesul de prevenire a accesului neautorizat, se va asigura siguranța datelor cu caracter sensibil.
• Autentificarea reprezintă o politică de securitate care garantează împotriva accesului neautorizat, fiind o „primă linie de apărare”. Astfel, pentru a obține acces într-o rețea sunt necesare un utilizator corect și o parolă validă.
• Instruirea reprezintă politica de securitate realizată de către administratorul rețelei, care are ca scop promovarea în permanență a acesteia către utilizatori. Administratorul va realiza un manual cu detalii concise, necesare utilizatorilor, în ceea ce vizează modurile de operare și menținere a securității.
4.4.2 Securitatea fizică a echipamentelor
• Asigurarea securității serverelor: pentru rețelele de dimensiuni mari și foarte mari, care dețin informații confidențiale stocate pe servere, este necesară protejarea acestora împotriva distrugerilor din cauze naturale sau intenționate. Soluția indicată este menținerea serverelor într-o zonă cu acces limitat.
• Protejarea cablului: cablul de cupru este sensibil și se pot monta dispozitive de interceptare care pot produce pagube în rândul informațiile confindențiale. Se recomandă, ca în faza de proiect, cablajul sa aibă trasee realizate astfel încât accesul să fie permis doar persoanelor autorizate. Acestea pot fi montate în pereți, tavan, podea sau chiar în structura clădirii.
• Copii de rezervă ale datelor și programelor: se recomandă operațiuni de back-up a datelor și implicit a programelor cu ajutorul suporților magnetici, prin menținerea acestora în siguranță ridicată, însă aceste operațiuni ridică probleme. Administratorul va trebui să ofere reguli și norme implicite stricte, atât pentru realizarea copiilor, cât și pentru menținerea acestora. Toate aceste proceduri de realizare a datelor de back-up trebuie introduse în planul inițial de politici de securitate. Datele și programele pot fi pierdute, furate sau distruse din cauze naturale precum: inundații, incendiu, etc. Copiile de rezervă reprezintă metoda cea mai eficientă de protecție. Pentru efectuarea back-upului trebuie luat la cunostiință inițial de anumite aspecte precum: siguranța, stocarea și frecvența acestora.
4.4.3 Securitatea accesului în Internet
Concomitent cu politica desfășurată în Internet, trebuie impuse aspecte deosibite în privința securității, cu scopul limitării accesului la informații sensibile, astfel respectând caracterul confidențial și integritatea datelor, dar și imposibilitatea repudierii.
Pentru realizarea criptării datelor sunt utilizate diverse coduri și cifruri. Cu ajutorul criptării, putem proteja traficul realizat între resurse și computerele aflate în rețea, echipamente ce sunt atent monitorizate de către atacatori. Este aproape imposibil de realizat o descifrare a datelor deja capturate într-un timp util pentru a putea fi utilizate ulterior.
Rețelele Virtuale Private (VPN) utilizează criptarea pentru a realiza protecția datelor. O conexiune relizată prin VPN permite utilizatorilor sa aibă acces în siguranță resursele rețelei, remote, asemănător în cazul în care utilizatorii ar fi legați fizic la acea rețea.
Figura 4.4.2.1 VPN Network
Este cunoscut faptul că atunci când se utilizează o comunicație de tipul TCP/IP, aceasta deține și un număr port. Userii pot controla astfel ce porturi sunt deschise, securizate prin intermediul unui firewall, dar și tipul de date care poate fi transmis pe port. Se poate realiza o implementare hardware, cât și software.
Pentru a detecta, șterge sau preveni diverse aplicații dăunătoare, care conțin viermi, viruși, spyware, cai troieni, etc. antivirusul reprezentă soluția, acesta fiind un program software care poate îndeplini cerințele menționate. Pentru a menține o securitate sporită a calculatorului este necesară o actualizare în permanență a fișierului de semnături. Acesta deține informația după care programul de antivirus poate detecta fiecare amenințare.
4.4.4 Semnături digitale
Semnăturile digitale oferă nivelul de integritate și imposibilitatea repudierii pentru utilizatorii care se tem de utilizarea datelor confidențiale și inclusiv accesul nepermis la diverse informații specifice diferitelor servicii. În realitate, s-au impus trei dintre acestea :
• Standardul de semnătură digitală (DDS) a guvernului SUA
• Semnătura pe bază de hash
• Semnătura RSA creată prin foosirea algoritmului clasic realizat de Don Rivest
Fiecare dintre algoritmi are utilizare diferită și cerințe diferite.
4.5 Tipurile de atacuri
Unul dintre cele mai simple și eficace atac, este de tipul ingineriei sociale, unde nu sunt necesare cunoștiințe avansate în domeniul avansat de tehnologii. Acest tip de atac are ca scop manipularea unuia sau mai multor utilizatori care beneficiază de autoritate în sistemul vizat de atacator, sugerându-i diverse acțiuni care ar facilita atacul hacker-ului. În general, astfel de atacuri nu sunt luate în calcul, dar pot provoca daune majore în cadrul companiilor. Deseori, acest tip de atac nu este singular, el fiind însoțit și de altele, astfel atacatorul deține numeroase avantaje.
Atacurile de tipul ingineriei sociale, pot fi blocate prin intermediul unor tehnici de securitate implentante, având ca scop protejarea accesului liber al utilizatorilor neautorizați, de asemenea, o altă metodă o reprezintă instruirea personalului din cadrul companiei.
Dumpster Diving, reprezintă o altă metodă utilizată des de către atacatori. Această metodă are efect prin căutarea în linii de cod de program, parole, diverse resurse care rămân neutilizate, etc. Pentru a preveni acest tip de atac se recomandă distrugerea tuturor datelor cu caracter sensibil atunci când acestea nu mai sunt necesare.
Putem enumera și alte tipuri de atac precum: phishing-ul, vishing-ul și baiting-ul.
Phishing-ul este un atac care are ca scop realizarea unei companii legale simulată, având ca scop obținerea informațiilor sensibile de la utilizatori. Cel mai simplu exemplu poate fi recepționarea unui mail de către victimă, mail-ul conținând aspecte credibile precum: sigla companiei, mesaje de informare, etc. În momentul în care victima va încerca opțiunea de login, va trimite involuntar parola sa către atacator.
Atunci când victima va adauga codul distructiv, din pură curiozitate, în calculatorul său, atunci are loc atacul numit: baiting. Un astfel de atac poate avea loc și în momentul în care victima va introduce un disc sau USB în calculatorul personal, infectând astfel sistemul și oferind ocazia atacatorului sa obțină acces la informații, deoarece discul sau USB-ul a fost infestat în prealabil de către atacator.
Atacuri SMTP
Atacurile SMTP au la baza vulnerabilitatea de tipul buffer overflow. Acest atac presupune adăugarea unui conținut peste limită în textului unui mesaj, iar conținutul peste limită care nu are loc în e-mail va conține comezi cu scop dăunător pentru server. După trimiterea mesajului, eroarea va pune în execușie codul din mesaj, astfel oferind posibilitea atacatorului de a pătrunde în server. Pentru protecția împotriva unor astfel de atacuri este sugerat un update periodic al sistemului de operare si softului serverului, astfel evitând apariția vulnerabilitățior.
Spargerea parolelor
Pentru a obține resursele unui sistem, atacatorul folosește o tehnică de spargere a parolelor, pentru a obține astfel autorizația și permisiunea de a se autentifica în sistem. Se cunoaște faptul că metoda de criptare a parolelor nu este o funcție inversabilă, deci aceasta nu poate fi aflată cunoscând hash-ul. Aceasta se va obține printr-o triere a numeroaselor variabile, până când va coincide cu hash-ul. Cele mai eficiente și cunoscute metode criptare, folosite în prezent sunt următoarele: md5 și sha.
Pentru a scădea posibilitatea de recunoaștere a unei parole, este indicat ca aceasta să conțină diverse caracteristici, precum: litere majuscule și mici, semne de punctuație și chiar numere. Se recomandă o actualizare perioadică a parolelor.
Flooding
Flooding-ul are ca scop inundarea unui server sau gazdă (host) cu o cantitate ridicată de pachete, ducând astfel la o supraîncărcare a serverului. Se defini două tipuri de flooding:
• SYN Flood – acest tip de flood se realizează prin inundarea cu pachete de tipul SYN, fără a trimite însă și răspunsul de pachete ACK. Astfel calculatorul victimei va primi mai mult decât poarte prelucra, fapt ce va duce la conexiuni semideschise.
O soluție împotriva acestui tip de atac îl reprezintă serviciul denumit SYNcookie, care va prelucra în mod diferit procesul stabilirii conexiunii realizate între calculatoare prin metoda de handshaking. În lipsa acestui serviciu, procesul ar fi astfel: Clientul va trimite un pachet de tipul SYN către server. Serverul va lua la cunoștiință primirea cererii, urmând a trimite către client un pachet de tipul SYN-ACK. Clientul va trasnmite un pachet de tipul ACK pentru confirmarea conexiuni reușite. Dacă se va utiliza serviciul SYNcookie, conexiunea va arăta astfel: Calculatorul A transmite către calculatorul B un număr X, astfel cerând permisiunea conexiunii. Calculatorul B va crea un alt număr Y, acesta reprezentând de fapt o criptare a numărului X. Dacă B acceptă, conexiunea va fi reușită. Astfel nu va fi necesară salvarea tuturor pachetelor SYN, reducând astfel atacurile de tipul SYN Flood.
Există și altă variantă pentru protecția împotriva acestor atacuri, aceasta presupunând realizarea unor programe care vor șterge în mod automat pachetele de tipul SYN, în cazul în care host-ul nu va cere un răspuns și a trecut o perioadă de timp.
În prezent, putem spune că rețelele actuale nu mai sunt vulnerabile la astfel de atacuri, având metodele de protecție active.
• ICMP ping Flood – prin intermediul acestuia se realizează o inundare cu ping-uri. Dacă lățimea de bandă a atacatorului este mult mai mare față de cea a victimei, atacul poate fi unul periculos. Astfel calculatorul victimei va consuma mare parte din lățimea de bandă, alte procese din sistem fiind îngreunate.
În prezent aceste tipuri de atacuri nu reprezintă pericol, pentru că lățimile de bandă au o mărime considerabilă, suportând astfel cantitățile mari de pachete ICMP.
Spoofing
Spoofing-ul nu reprezintă un atac propriu-zis, însă acesta este însoțit de diverse tipuri de atac. Spoofing-ul are ca scop ascunderea identitiții atacatorului, adică a unor informații esențiale precum: adresă IP, MAC, DHCP, DNS etc, astfel găsirea lui fiind foarte dificilă. Acest tip de atac se realizează prin intermediul unor servere proxy, profitând de vulnerabilitățile protocoalelor TCP/IP, inclusiv prin serviciile oferite de Internet. Prin intermediul Spoofing-ului IP, atacatorului trimite pachete dăunătoare către un utilizator (calculator) din rețea, iar acesta va răspunde calculatorului cu o adresă IP. Astfel Spoofing-ul IP este utilizat pentru atacuri precum DoS, smurf, pentru a realiza o redirecționare de trafic sau pentru a obține acces asupra rețelei protejate prin intermediul unui firewall.
Spoofing-ul prin intermediul numerelor secvențiale reprezintă o tehnică de atac destul de eficace. Este cunoscut faptul că rețelele TCP/IP folosesc numere secvențiale pentru a realiza conexiuni, utilizând procesul de handshaking. Numerele sunt bazate exclusiv pe clock-ul intern al calculatorului, acesta fiind realizat după un anumit algoritm. Astfel realizând o urmărire a numerelor secvențiale transmise între două calculatoare, se pot calcula valorile următoarelor numere, astfel se poate realiza accesul în rețea, chiar dacă este considerată de încredere.
Session Highjacking este asemănător cu Spoofing-ul Numerelor Secvențiale, aici având loc un furt asupra sesiunii unui client, realizându-se prin mascarea adresei IP sau a adresei MAC reale, cu adresele user-ului conectat deja în rețea, astfel obținând drepturile acelui user în rețea.
Criptarea datelor între routere și hosturile externe reprezintă cea mai eficientă metodă de protecție împotriva Spoofing-ului. Astfel se reduc șansele ca atacatorul să obțină datele esențiale despre calculatoarele victimă într-un timp decent. O altă soluție este reprezentată de o filtrare a traficului extern cu ajutorulu firewall-ului.
Figura 4.5.1 Spoofing
Sniffing
Sniffing-ul realizează procesul de analiză și captură a traficului, utilizând diverse tool-uri denumite sniffere ori analizatoare de trafic/protocoale. Prin intermediul acestora se poate face o analiză asupra pachetelor care circulă în rețea, astfel reușind capturarea datelor cu caracter sensibil, inclusiv a parolelor, dacă acestea sunt transmise în text simplu. În general, aceste analizoare de trafic se folosesc în rețelele locale, dar nu sunt excluse nici în cadrul rețelelor WAN. În cazul rețelelor LAN, dacă placa de rețea a utilizatorului, vizat pentru atac, este în modul „promiscuous”, atunci poate fi utilizat sniffing-ul, astfel indiferent de adresa IP sursă, informația poate fi citită.
IPSec, o metodă care realizeză criptarea traficului din rețea, reprezintă o metodă de protecție împotriva sniffing-ului, astfel după ce sunt obțiunute datele de către atacator, datelor vor fi mult mai greu de decriptat.
Putem menționa și utilizarea programelor specifice anti-sniffer, care pot determina dacă rețeaua se află sub monitorizare sau nu.
O altă metodă de protecție o reprezintă folosirea switch-urilor în locul hub-urilor pentru că astfel se realizeză o segmentare a rețelelor, astfel atacatorul aflat într-un segment de rețea diferit nu va putea analiza sau captura traficul unui calculator din alt segment de rețea.
Figura 4.5.2 Sniffing
Denial of Service (DoS)
Atacurile de tip DoS nu sunt îndreptate către analiza traficului și spargerea parolelor, acestea au ca scop prevenirea utilizatorilor autorizați de a utiliza anumite resurse din cadrul rețelei. Atacurile de tip DoS reprezintă o încercare rău intenționată de a bloca resursele calculatorului victmei. Acestea se pot desfășura în două feluri: printr-o inundare continuă a serverului cu informații inutile sau prin distrugerea activității serverului. Putem considera că orice atac care duce la o limitare sau blocare totală a unui host, este un atac de tip DoS. În general atacurile de tip DoS sunt orientate și bazate pe protocoalele OSI, TCP/IP. Aceste funționează prin una din metodele de mai jos:
Consumul de resurse computaționale, adică a lățimii de bandă de transfer, eficiența procesorului, disponibilitatea de pe hard etc.
Alterarea configurațiilor informației
Coruperea stării informației, putem menționa blocarea pe o scurtă perioadă de timp și nesolicitată a conexiunilor TCP/IP
Distrugerea la nivel fizic a componentelor din cadrul rețelei.
Blocarea comunicării dintre două calculatoare
Figura 4.5.3 Denial of Service
Dintre tipurile de atac DoS putem menționa:
• Ping of Death
Ping of Death este un atac care se realizează prin trimiterea în permanență de ping-uri de o marime ce depășește 65535 B către victimă. Cu alte cuvinte, pachetul de tip ICMP este fragmentat, iar la destinație stația utilizatorului este obligată să recombine mesajul, însă stația va recepționa în același timp astfel de ping-uri de dimensiuni mari, astfel stația victimei va suferi prin supraîncărcarea sistemului.
• Atacuri Teardrop
Atacul Teardrop este realizat pe același principiu ca și Ping of Death, cu mențiunea că acesta se folosește de vulnerabilitățiile din cadrul TCP/IP. Astfel, prin introducerea unei valori greșite a offset-ului din pachetele IP, o reasamblare este imposibil de realizat, ducând la o prelucrare de pachete nevalide care va suprîncărca stația victimei.
• Atacuri peer-to-peer
Vulnerabilitățile rețelelor peer to peer au fost descoperite de către hackeri și le-au permis acestora să lanseze atacuri de tip DDoS prin intermediul stațiilor zombie din rețea. Acest tip de atac se deosebește cele simple (atacuri DDoS) pentru că aici nu este necesar ca atacatorul să stabilească o comunicare cu stațiile zombie pentru a iniția atacul. Acestea se vor deconecta în mod automat din rețeaua peer to peer, astfel inițializând atacul asupra victimei, mai exact asupra severerului web. Dacă se inițializează un atac masiv, serverul va avea de suferit în urma supraîncălzirii și totodată conexiunile active se vor închide.
Putem stopa astfel de atac prin specificarea concisă a stărilor porturilor (permise și nepermise) în cadrul protocolului peer to peer. Acest lucru va conduce la blocarea portului 80 (HTTP), iar posibilitatea de atac asupra serverului web al victimei este mult mai redusă.
• Permanent Denial of Service (PDoS)
Permanent Denial of Service (PDoS) reprezintă un atac destul de eficient care poate duce la o distrugere totală a sistemului și chiar la schimbarea componentelor fizice. Atacatorul trebuie să obțină acces la un echipament din rețea, precum imprimantă, router, etc, iar următorul pas este de a schimba firmware-ul cu o imagine nevalidă, alterată sau coruptă, scopul final fiind distrugerea echipamentului.
• Flood la nivelul de aplicație
O metodă frecventă de atac utilizată este flood-ul pe IRC (Internet Relay Chat), ce are ca scop final scoaterea unui user din conversație sau chiar distrugerea conversației. Printre atacurile frecvente se enumeră: transmiterea unor mesaje cu număr mare de caractere, transmiterea continuă de mesaje, conectarea și deconectarea rapidă și continuă în mod repetat.
SPAM-ul este considerat a fi un atac de tip DoS, astfel userii din cadrul unui server de e-mail pot recepționa mesaje în mod repetat, fără a le solicita, mesaje ce conțin informații inutile pentru utilizatori. SPAM-ul nu are scopul de a ataca utilizatorii, ci server-ul gazdă, pe care îl va suprasolicita și chiar poate să ocupă toată lățimea de bandă, scăderea puterii procesorului, inclusiv la nivel de spațiu hard apar probleme. Ca metodă de protecție au fost utilizate programe de tipul anti-spam care au ca scop final o filtrare a mesajelor nesolicitate.
Anumite exploit-uri ce au ca scop atacul asupra vulnerabilităților buffer overflow pot folosi întreg spațiul de pe disc sau chiar capabilitățile procesorului, astfel serverul devenind neeficient.
Un atac de tip DoS pot fi considerat cel de tipul forță brută (bruteforce) care transmite un număr exagerat de pachete către stația victimei scopul final fiind de a satura lățimea de bandă astfel încât utilizatorii să nu o mai poată utiliza. Putem menționa și o supraîncărcare a unui serviciu al serverului, astfel se va ocupa întreg spațiul hard cu fișiere de log (de înregistrare).
O altă tehnică de atac de tip DoS, denumită „Banana attack”, are ca scop transmiterea tuturor pachetelor transmise de client către server, înpoi către client, astfel are loc o inundare de pachete.
Odată căpătat accesul asupra stației victimei, atacatorul poate încetini stația până când aceasta devine inutilizabilă. Acest tip de atac este denumit Fork Bomb și este un proces care se rulează pe sine de atâtea ori cu câte slot-uri maxime de procese pe care le poarte admite sistemul. În cazul în care procesul se închide, el se va deschide în mod automat, iar astfel stația nu are posibilitatea execuției altor procese, realizându-se un sistem invalid.
• DDoS
Distributed Denial of Service este atacul realizat către un server cu ajutorul mai multor stații zombie, acestea fiind infestate de către atacator prin intermediul unor programe de tip malware, unde este menționată adresa IP a user-ului atacat, astfel se elimină ideea de interacțiune cu atacatorul, dar există situații în care atacatorul poate prelua controlul asupra stațiilor infectate.
În cazul acestui tip de atac nu există nici în prezent o tehnică eficientă de prevenire și de asemenea este de menționat faptul că proveniența atacului este dificilă de aflat.
• Distributed Reflected Denial of Service Attack (DRDoS)
Atacul de tip DRDoS se realiează prin intermediul unor cereri false trimise către un număr numeros de stații, iar redirecționarea răspunsurilor la cereri către gazda ce deține adresa IP emulată se realizează prin intermediul IP Spoofing. Generarea de trafic mărit în cadrul rețelei, cu ajutorul unor pachete ICMP ce conțin adresele IP sursă modificate, este considerat a fi un atac DRDoS de tip Smurf. Astfel, dacă routerul va trimite pachetele spre fiecare stație din rețea, atunci toate ping-urile se vor trimite către stația victimă, realizându-se o multiplicarea a traficului. Astfel putem spune că rețeaua care transmite toate ping-urile stației victimă, este denumită amplificator Smurf.
Pentru a beneficia de protecția împotriva acestui tip de atac, atenția trebuie îndreptată asupra rețelei și nu a stației victimă vizată. Astfel, vor fi stopate pachtele ICMP trimise în exteriorul rețelei sau se vor implementa la nivel de configurație în routere diverse metode de blocare a trecerii pachetelor ICMP.
Un atac asemnător cu cel de tip Smurf este, atacul Fraggle. În cadrul acestuia, pachetele fac parte din categoria UDP și atacul are loc pe portul 7 sau 19.
• Degradation of Service
Atacul de tip Degradation of Service se bazează pe folosirea unor stații zombie care transmit la anumite intervale de timp, flood-uri în rețea. Acestea sunt mai greu de observat pentru că ele coincid cu perioadele de trafic intens, dar acesta are ca scop degradarea serverului. Acestea sunt considerate mai dăunătoare față de flood-ul simplu pentru că pot duce la o întrerupere cu serverul pe o periodă lunga de timp.
Man-in-the-Middle attack (MITM)
Atacul MITM în centru atacatorul, care poate intercepta și chiar modifica conțiunutul mesajelor schimbate între două stații, astfel lăsând impresia victimelor că poartă o conversație normală, însă această este controlată de către hacker. Astfel victima A poate cere de la victima B cheia pentru criptarea mesajelor care urmează să se desfășoare. Așadar atacatorul deține cheia victimei B, dar A îi trimite altă cheie, astfel conversația nu se poarte realiza. În încercarea de a comunica, atacatorul poate converti mesajele și în acest caz poate altera mesajul.
Atacul MITM poate fi realizat cu ajutorul DHCP Spoofing, cu alte cuvinte o stație aflată în rețea se consideră a fi server DHCP, astfel preia informații despre host-urile prezente în serverul real (DHCP). Dacă atacatorul furnizează date eronate către stațiile din rețea, acestea vor avea probleme din punct de vedere al conexiunii, iar atunci când apare în discuție default gateway este indicată o stație a atacatorului din rețea, astfel acea stație poate folosi sniffing-ul, aflând astfel informații confidențiale trimise către alte stații din rețelele externe. Pentru a detecta acest tip de Spoofing DHCP este necesară utilizarea de programe specifice destinate acestui tip de atac.
Figura 4.5.4 MITM
Atacul Replay
Atacul de tip Reply se realizează prin trimiterea frauduloasă a mesajelor către victime, sub „numele” altor utilizatori din rețea. După realizearea unui sniffing în interiorul rețelei, atacatorul poate obține datele cu caracter sensibil din rețea. Putem explifica în felul urmator: se consideră că stația A are nevoie să comunice cu stația B, pentru a confirma identitatea, aceasta îi cere o parolă. Conexiunea se realizează doar dacă hash-ul parolei este identic cu cel pe care stație B îl deține. În acest interval, atacatorul interceptează hash-ul și îl poate folosi în viitor pentru a ataca stația B, care va crede că schimbă informații cu stația A.
Astfel de atac poate fi evitat prin folosirea jetoanelor de sesiune, de acestea se poate atașa hash-ul parolei. Aceste jetoane sunt generate de niște numere aleatoare, iar la fiecare sesiune se utilizează un alt jeton. Însă, cu toate acestea, apare o nouă problemă legată de numerele aleatoare. Acestea sunt calculate după anumite valori variabile în timp, precum momentul pornirii stației. Astfel, urmărind diverse conexiuni realizate între utilizatori, atacatorul poate afla algoritmul de generarea al numerelor aleatoare.
DNS Rebinding
În momentul în care un user accesează o pagină de internet, atacatorul poate modifica felul în care browserul utilizat va accesa pagina web folosind serverul DNS, acest atac este denumit DNS Rebiding. Astfel cu ajutorul codului din pagina web (java, flash sau javascript), atacatorul poate influența browserul victimei. Acest tip de atac este folosit în general pentru atacurile de tip DDoS, astfel se pot da comenzi browserului victimei să atace un server. Odată ce pagina web a fost infestată, toți userii care o vor accesa își vor infesta propriul browser și vor ajuta atacatorul să altereze acel server.
Împotriva acestui tip de atac se pot folosi diverse tehnici. Una dintre ele se numește DNS Pinning, acesta verificând dacă adresa inițială DNS este aceeași pe toată durata. Această metodă prezintă și un dezavantaj major în cazul utilizării serverelor de tip dinamic. O altă metodă este negarea totală a cererilor HTTP care nu conțin un antet cunoscut de host.
DNS cache poisoning
Atacul de tip DNS cache poisoning constă în alterarea bazei de date specifice serverului DNS, adică acesta va aloca adrese IP greșite site-urilor web, astfel realiazând redirecționarea către diverse site-uri. Această redirecționare are ca scop accesarea de pagini care dețin viruși, cai troieni și alte tipuri, infestând astfel stația victimei prin această vulnerabilitate a serverului DNS. Alterarea serverului DNS se realizează prin diferite tool-uri speciale sau exploituri.
Pentru prevenirea acestui tip de atac este indicată utilizarea serviciilor precum NAT (Network Address Transalation) și PAT (Port Address Translation).
Figura 4.5.6 DNS cache poisoning
ARP Poisoning
Acest atac mai este cunoscut si după denumirea de ARP Flooding sau ARP Poisning Routing (APR). Scopul acestui atac este de a trimite pachete de tip ARP false (Addres Resolution Protocol) către userii rețelei, astfel acest pachet de tip ARP va asocia adresei MAC a atacatorului o adresă IP dintr-o rețea externă, dar poate fi și adresa gateway. Cu alte cuvinte, traficul care ar trebui să iasă din rețea prin intermediul adresei gateway va trece prin stația atacatorului, care astfel va avea oportunitatea să realizeze diverse atacuri precum MITM sau sniffing în rețea.
DHCP Snopping care realizează o verificare în ceea ce privește veridicitatea serverului DHCP, după adresa MAC, reprezintă o metodă de protecția împotriva acestui tip de atac ARP Poisoning.
Atacuri Wireless
Mediul wireless, implicit undele radio reprezintă un domeniu dificil de controlat, astfel că rețelele wireless vor fi supuse unor atacuri de securitate constante. Tehnicile de atac menționate în cadrul rețelelor cablate sunt valabile și în cazul rețelelor wireless, cu mențiunea că pentru cele din urmă există numeroase metode specifice, adresate în mod special access point-urilor. Astfel, orice stație care poate deține conexiuni de tip wireless va avea posibilitatea interceptării tuturor pachetelor care sunt transmise în radiusul în care access point-ul funcționează, adică putem spune că securitatea rețelelor wireless este foarte sensibilă. Odată ce atacatorul obține acess într-o rețea wireless, acesta poate acționa și asupra rețelelor cablate.
Wireless DeAuth reprezintă cea mai simplă tehnică de atac asupra rețelelor wireless. Aceasta are ca scop simpla delogare a tuturor userilor din rețea și nu de a fura, altera sau șterge date din cadrul rețelei.
După ce atacatorii au început sa profite de vulnerabilitățile rețelelor wireless au început să apară și tehnici de securitate care au la bază key-urile. WEP este prima tehnică realizată împotriva atacurilor wireless. Ulterior s-au dezvoltat tehnici mai eficiente precum WPA și mai apoi WPA2, însă atacatori au reușit să găsească vulnerabilități și pentru aceste metode. În prezent, putem afirma faptul ca CISCO LEAP reprezintă una din cele mai sigure tehnici de securitate, corectând vulnerabilitățile tehnicilor inițiale. Pentru rețelele de tip wireless, cele mai frecvente atacuri sunt: MITM, DoS și Replay.
Filtrarea adreselor MAC reprezintă o altă metodă de securitate, astfel utilizarea access point-ului va fi permisă doar stației ce deține o anumită adresă. Folosirea Spoofing-ului MAC este relativ ușoară și poate fi utilizată ca tehnică de a pătrunde în rețea neautorizat. Spoofing MAC se poate utiliza și în Session HighJacking, care presupune un sniffing în rețeaua wireless cu scopul de a găsi adrese MAC ce aparțin unor utilizatori autorizați, astfel modificând adresa proprie cu adresa utilizatorului și obținând acces în rețea ca și cu ar fi deja autentificat la access point.
Network Injection este folosit de către atacator pentru a utiliza un access point care nu realizeză filtrare de trafic, astfel pot fi reconfigurate routere, switch-uri sau hub-uri cu scopul distrugerii rețelei, fiind necesară o restartare sau o nouă configurare a echipamentelor.
O altă metodă de a exploata vulnerabilitățile tehnologiei WEP este atacul numit Caffe Latte. Folosind acest atac, hacker-ul nu trebuie să fie în zona de acoperire a rețelei vizate, pentru că acesta are în vizor sistemele de operare (Windows), ajungând la informațiile din stivă pentru a obține key-ul specific rețelei wireless. Atacul se realizează prin trimiterea în număr consistent de cereri ARP împreună cu utilizarea Flood-ului, astfel obținând key-ul vizat.
CAPITOLUL 5. Securitate WLAN
În acest capitol vor fi descrise diferite soluții de securitate pentru standardul IEEE 802.11 precum WEP, WPA și WPA2, desemenea vor fi precizate aspecte precum arhitectura lor, dezavantajele prezente, metode de atac asupra acestor soluții de securitate, dar și diferite concluzii.
Topologia de rețea utilizată în cadrul analizei protocoalelor de securitate la nivelul rețelelor wireless este similară cu cea realizată folosind aplicația Graphical Network Simulator 3, însă posibilitățile de la nivel de configurație sunt mult mai limitate.
Topologia a fost realizată în scopul evidențierii diverselor metode de securitate aplicate la nivelul echipamentelor wireless. Astfel, rețeaua conține patru mari domenii: sediul central (HQ), partea de provider (ISP Network) și celelalte două rețele (Branch 1 și Branch 2).
Figura 5.1 Topologie Packet Tracer
Topologia conținele următoarele componente:
5 routere de tip 2811
3 routere wireless de tip WRT 300N
3 stații PC
3 stații Laptop
5.1 WEP (Wired Equivalent Privacy)
În topologia de rețea realizată în aplicația Cisco Packet Tracer, partea din stânga, denumită sediul central (HQ) corespunde unei configurații din punct de vedere al securității cu tehnica WEP. Aceasta conține următoarele echipamente: HQ-R, HQ-R-Wireless, Host 1 și Host 1 Laptop. La nivelul HQ-R-Wireless a fost utilizată tehnică de securitate denumită WEP (Wired Equivalent Privacy). Astfel, cele două stații vor fi conectate wireless în rețea prin intermediul HQ-R-Wireless, astfel făcând posibil accesul către exterior prin interfața WAN 0/0, conectată la routerul HQ-R, interfața Fa0/1.
Figura 5.1.1 Implementare WEP
În figura de mai jos se pot observa setările de bază ale echipamentului wireless, WRT300N, HQ-R-Wireless, acestea fiind divizate în două secțiuni, partea de LAN și partea de WAN, unde sunt specificate adresele IP, masca de rețea și default gateway-ul.
Figura 5.1.2 Setări bază Router WRT30N – WEP
WEP este prima tehnică de securitate folosită în standardul IEEE 802.11. Scopul principal al acestei tehnici este de a furniza securitatea rețelei WLAN, asemănător rețelelor LAN. Tehnica WEP ajută la asigurarea securității comunicațiilor și oferă o schemă de autentificare secretă între Access Point (AP) și utilizatorul final care va accesa rețeaua wireless. Practic, WEP este implementat pe rețelele wireless inițiale, astfel încât utilizatorul nu poate accesa rețeaua fără cheia corectă. WEP utilizează o criptare simetrică a cheilor care variază în intervalul 64 – 128 biți. De obicei, aceeași cheie criptată este folosită pentru toate nodurile din rețea și este redirecționată manual către fiecare nod, ceea ce înseamnă că WEP nu poate furniza un mod de gestionare a cheilor. WEP utilizează metoda de autentificare a cheilor partajate în care utilizatorul are nevoie de două lucruri pentru a accesa WLAN-ul: unul este SSID, iar al doilea este cheia WEP generată de Access Point (AP). Standardul IEEE 802.11 definește trei parametrii diferiți pentru tehnica WEP și anume: controlul accesului, confidențialitatea datelor și integritatea datelor.
Figura 5.1.3 Setări de bază la nivel wireless – WEP
Figura 5.1.4 Setări securitate wireless – WEP
5.1.1 Arhitectura WEP
Standardul IEEE 802.11 utilizează algoritmul de criptare RC4 pentru a asigura confidențialitatea rețelei wireless, deoarece este ușor de implementat atât software cât și hardware și de asemenea foarte ieftin în comparație cu alt algortim de criptare. RC4 este considerat a fi un algoritm accesibil de criptare, însă, care nu mai este utilizat în prezent. Metoda clasică și standard pentru a realiza integritatea datelor se realizează prin adăugarea codului de autentificare unor anumite mesaje înainte de a le transmite către mediul wireless. WEP utilizează codul de redundanță ciclică pe 32 de biți (CRC-32) ca algoritm de integritate. Acesta este generat pentru fiecare cadru de date care urmează să fie transmis, prin efectuarea unor calcule de polinoame, iar după adăugându-se suma de control la fiecare cadru de date. La recepție se vor calcula polinoamele din cadrele de date, iar dacă suma de control este aceeași se presupune că ca datele sunt sigure, dacă nu, acestea se consideră a fi date modificate. CRC-32 este considerată o abordare fundamentală și facilă în privința implementării. WEP este folosit pentru a cripta informațiile la emisie și de a decripta la recepție.
Figura 5.1.5 Vizualizare generală configurație wireless – WEP
5.1.2 Procesul de criptare și decriptare WEP
Presupunem că utilizatorul are cheia secretă corectă k pentru a accesa rețeaua. Procesul criptarii unui mesaj generat de utilizator M este următorul:
•Pasul 1: Se calculează o sumă de control ciclică redundantă de 32 biți (CRC) pentru Mesajul M. CRC-ul este lipit la mesajul M pentru a forma un mesaj P de tip text clar.
•Pasul 2: Un keystream RC4 este generat prin utilizarea cheii secrete k și un vector de ințializare(IV) ca intrări. IV este utilizat pentru a se asigura că pachetele de date ulterioare sunt criptate cu diferite keystreams, chiar dacă este utilizată aceeași cheie secretă.
•Pasul 3: RC4 keystream este SAU-EXCLUSIV (XOR) cu mesajul text simplu P, pentru a genera textul cifrat C.
•Pasul 4: IV este concatenat cu textul cifrat, și întregul cadru este transmis. IV nu este criptat și este transmis în clar.
•Pasul 5: Când sosește cadrul mesajului la destinatar (o altă gazdă pe rețeaua fără fir care posedă, de asemenea, cheia secretă k), IV este extras din cadru. IV este folosit împreună cu cheia comună secretă K pentru a genera keystream-ul RC4 original. Textul clar original P este apoi recuperat prin efectuarea unui XOR de către textul cifrat și keystream.
•Pasul 6: Gazda destinatară efectuează o verificare de integritate prin calcularea sumei de control pentru mesajul primit, și comparând-o cu suma de control CRC primită. Mesajul trece de verificarea integrității în cazul în care cele două sume de control sunt identice. Dacă sumele de control sunt diferite, mesajul este considerat a fi compromis și va fi eliminat.
Tabel 5.1.2 Diferiti paramentri utilizati in mecanisul WEP
5.1.3 Dezavantaje WEP
S-a demonstrat că mecanismul WEP eșuează în realizarea obiectivelor sale și anume: confidențialitate, integritate și controlul accesului, astfel dovedindu-se nesigur pentru punerea în practică. Mai jos vor fi detaliate principalele slăbiciuni ale mecanismului.
Integritatea
Suma de control CRC 32 nu oferă integritate puternică mesajului. A fost demonstrat că un atacator poate modifica conținutul unui pachet de mesaj , precum și suma de control CRC – 32 de corespunzătoare , chiar fără să știe secretul cheii de criptare.
Autentificarea
Mecanismul de autentificare utilizat în WEP este un simplu sistem "provocare și răspuns" bazat pe faptul că un utilizator cunoaște un secret comun. În cazul WEP , aceast secret comun este cheia WEP, care este împărțită între toți utilizatorii rețelei wireless. Problema cu utilizarea de autentificare WEP este că utilizatorii nu pot fi identificați și autentificați în mod individual, deoarece oricine are cheia WEP i se va acorda acces. O altă problemă cu WEP este că nu acceptă autentificare reciprocă. Prin urmare, un utilizator nu poate contesta și autentifica un punct de acces la rețea și nu poate fi sigur că se conectează la o rețea legitimă.
Confidențialitatea
WEP nu protejează confidențialitatea ca urmare a punerii în aplicare necorespunzătoare a algoritmului RC4. Managementul prost al cheilor, precum și reutilizarea vectorului de inițializare IV poate permite atacatorilor să spargă cheia WEP în cazul în care un număr suficient de pachetele sunt captate („sniffed”) și colectate de pe undele radio. Odată ce cheia WEP este spartă , decriptarea informațiilor transmise în rețeaua wireless devine banală. Au fost dezvoltate instrumente care exploată punctele slabe WEP și pot fi liber descărcate prin intermediul Internetului.
5.1.4 Atacuri asupra WEP
WEP este un de protocol de securitate bazat pe algoritmul de criptare denumit RC4. Scopul său este de a asigura securitatea rețelei wireless, similară securității furnizate în rețeaua LAN. Există puține neajunsuri în WEP, cum ar fi cheia de criptare RC4 mică și, de asemenea, utilizarea unor valori mici pentru vectorul de inițializare IV. Un alt dezavantaj este utilizarea procedurii XOR pentru cheia de cifru cu textul simplu pentru a crea textul cifrat. Atât adresa MAC cât și adresa vectorului de inițializare IV sunt trimise sub forma unui text simplu. Cheile secrete sunt împărțite între noduri care reprezintă preocupările majore privind securitatea. Datele care sunt criptate prin WEP pot fi ușor accesibile atacatorului prin diverse instrumente, de exemplu AirSnort și WEPCrackt. Există o multitudine de probleme în ceea ce privește soluția de securitate WEP, incluzând de asemenea gestionarea defectuasă a cheilor din rețea, ele fiind stocate pe un dispozitiv, rămân neschimbate pe toată perioada sesiunii de comunicare. Dacă dispozivitul hardware este furat sau afectat, atacatorul poate utiliza cheile stocate. Pentru a diminua această problemă, soluția de gestionarea a cheilor dinamice va fi un plus considerabil, prin faptul că se diminuează considerabil fraudarea cheilor de către atacator, astfel acest proces de cheie dinamică va crește complexitatea rețelei.
WEP cuprinde o serie de vulnerabilități deorece se confruntă cu multe atacuri încă de la începuturi, însă acestea par foarte impracticabile, fiind un motiv pentru care vendorii au hotărât să nu investească în soluții noi de securitatea și au planificat să ofere soluția de atenuare a acestor probleme la momentul respectiv. O dată cu trecerea timpului, atacurile s-au dezvoltat rapid și treptat, dovedindu-se a fi mai complexe.
1. Atac violent
2. Atac împotriva reutilizării fluxului cheie
3. Atacuri slabe – vector inițializare
4. Atacuri moderne
1. Atac forțat
Un atac „brute force” reprezintă o metodă de acces neautorizat la un sistem informatic sau de decodare a conținutului criptat (cum ar fi parolele) folosind „forța brută” de calcul – prin programe care aplică metoda încercare – eroare (trial and error). Metoda constă în încercarea succesivă a tuturor combinațiilor posibile de caractere, fără un algoritm elaborat. Este aplicabilă într-un număr limitat de situații, când sistemele nu sunt protejate cu parole sigure (de ex. sunt formate din prea puține caractere) sau nu au implementate mecanisme anti-brute force (de ex.: sistemul captcha, temporizarea accesului după un număr de accesări eșuate).
2. Atacul împotriva reutilizării cheilor
Securitatea față de algoritmi este total independentă de cheia sa, definită prin entropia Cryptanalysis în WEP. În momentul inițial este inutil să se extindă dimensiunea cheii pentru a obține o mai bună securitate a WEP-urilor. Dacă un atacator recuperează cu succes fluxul cheie, atunci cu siguranță va decripta datele care sunt conectate la acel flux cheie. Este descoperit mecanismul cel mai sensibil care se bazează pe autentificarea cheilor partajate, scopul principal al acestui mecanism fiind limitarea accesului neautorizat în rețea. În acest proces, primul autentificator trimite o cerere în text simplu către solicitant cunoscut și ca peer de autentificare. Solicitantul este autentificat și răspunde cu mesajul criptat al cererii. În cazul în care atacatorul decriptează cu succes această comunicare, atunci pur și simplu poate să facă XOR a textului cifrat și a perechii de text simplu pentru a obține fluxul cheie.
Acest atac este recunoscut de standardul IEEE 802.11 și descurajează clienții să nu repete aceeași vectori de inițializare (IV) în procesul de comunicare. După această schemă de autentificare a atacurilor se descurajează și se introduce masca SSID și mecanismele de filtrare a adreselor MAC. Prin urmare, solicitarea de asociere și mecanismele de adresă MAC au ambele dezavantaje, dar au o importanță redusă față de schema de autentificare.
3. Slăbiciunea vetorului de inițializare IV
Studiile curente au demonstrat că, cheia poate fi recalculată de către atacator. Acest tip de atac necesită colectarea a aproximativ 1 000 000, în care unele pachete folosesc valori ale vectorului de inițializare IV-uri slabe. Pur și simplu un atacator necalificat poate da și lua informații dintr-o rețea, prin colectarea numărului mare de IV-uri slabe, deoarecce se poate calcula cu ușurință cheia corectă. Numai un singur vector slab de inițializare IV va ajuta la aflarea octetul cheie corect. Prin urmare, se demonstrează că IV-urile slabe sunt considerate a fi o amenințare importantă pentru soluția WEP. Cu toate acestea, acest atac poate fi atenuat numai în situații particulare după colectarea unui număr mai mare de IV-uri slabe, ceea ce ar putea dura mai multe zile pentru a găsi cheia WEP precisă.
4. Atacuri moderne
Atacurile de mai sus s-au confruntat cu două lovituri majore în trecut. În primul rând vorbim despre reducerea timpului necesar pentru a calcula cheia exactă și în al doilea rând vorbim despre modul realizare al fluxul cheie în mod credibil în atacurile împotriva reluării fluxului cheie. Ambele probleme sunt rezolvate acum. Pentru prima problemă, se demonstrează din studiile curente că se poate recupera cu ușurință un octet al fluxului cheie după capturarea pachetelor maxime de 256. Pentru a doua problemă se dovedește, de asemenea, reducerea perioadei de timp, dacă un pachet obține un răspuns este repetat, după care traficul este produs automat în rețea și atacatorul nu va aștepta ca datele să fie capturate manual, atacatorul poate observa în mod activ traficul de date care utilizează sistemul vectorului de inițializare IV slab.
5.1.5 Concluzii WEP
Inițial, IEEE 802.11 se confruntă cu o problemă gravă, care face referire la vulnerabilitățile rețelei wireless. Standardele IEEE 802.11 admit în mod corespunzător că în ceea ce privește comunicațiile fără fir, sunt susceptibile la interceptarea, modificarea mesajelor și diferitele tipuri de atacuri în comparație cu rețelele LAN cu fir. Pe de altă parte, motivul utilizării WEP este de a furniza securitatea și autentificarea ca în cazul LAN-urilor, ceea ce reprezintă un scop nedefinit. Însă tehnologia WEP deține un număr consistent de probleme. Când FMS a distrus securitatea WEP pentru prima dată, a fost un eșec mare pentru rețeaua Wi-Fi. Prin urmare, selectarea algoritmilor de criptare și integritate nu este adecvată pentru tehnica WEP și pentru comunicarea pachetelor în rețelele 802.11. Dacă comparăm criptarea WEP 64 biți cu criptarea WEP 128 biți, 128 este mai eficientă deoarece produce o cheie de criptare WEP mare în comparație cu cea de 64 de biți, dar ambele sunt slabe. Există multe slăbiciuni disponibile în WEP, care oferă o securitate insuficientă pentru rețelele care gestionează datele foarte sensibile. Prin urmare, toate componentele tehnicii WEP sunt foarte dezamăgitoare și nu pot furniza securitatea rețelelor wireless.
5.2 WPA (Wi-Fi Protected Access)
În topologia de rețea realizată în aplicația Cisco Packet Tracer, partea centrală de jos, denumită Branch 1 corespunde unei configurații din punct de vedere al securității cu tehnica WPA. Aceasta conține următoarele echipamente: : IPS3, Branch-1-Wireless, Host 2 și Host 2 Laptop. Branch-1-Wireless a fost utilizată tehnică de securitate denumite WPA (Wi-Fi Protected Access) Personal cu TKIP. Astfel, cele două stații vor fi conectate wireless în rețea prin intermediul Branch-1-Wireless, acestă făcând posibil accesul către exterior prin interfața WAN 0/0, conectată la routerul IPS3, interfața Fa0/0.
Figura 5.2.1 Implentare WPA
În figura de mai jos se pot observa setările de bază ale echipamentului wireless, WRT300N, Branch1-R-Wireless, acestea fiind divizate în două secțiuni, partea de LAN și partea de WAN, unde sunt specificate adresele IP, masca de rețea și default gateway-ul.
Figura 5.2.2 Setări bază Router WRT30N – WPA
WPA este un mecanism, interoperabil, bazat pe standarde dezvoltate de către Wi-Fi Alliance. Scopul WPA este să furnizeze remedieri intermediare la vulnerabilitățile WEP. Echipamentul din rețeaua existentă 802.11 poate fi upgradat la WPA prin intermediul software-ului sau upgradeuri de firmware.
WPA are mai multe avantaje față de WEP, care sunt descrise mai jos:
a) Autentificare folosind protocolul 802.1x . Asigură o autentificare mutuală, în sensul că stația client poate fi autentificată înainte de a i se acorda acces la WLAN, dar și clientul se poate autentifica WLAN înainte de a se alătura rețelei .
b) 802.1x oferă și un mecanism de distribuire a cheilor
c) Integritatea și criptarea au fost îmbunătățite prin utilizarea protocolului Temporal Key Integrity (TKIP). Acesta are la bază algoritmul RC4 de criptare, peste care este aplicată o funcție de mixare care generează o cheie pentru fiecare cadru din transmisie. Suplimentar, este introdus un cod de integritate a mesajului, astfel încât echipamentele pot autentifica pachetele pe care le recepționează.
d) WPA mărește dimensiunea vectorului de inițializare al RC4 la 48 de biți și dimensiunea unei chei la 128 de biți.
e) Oferă două moduri de autentificare: Personal și Enterprise
Figura 5.2.3 Setări de bază la nivel wireless – WPA
Figura 5.2.4 Setări securitate wireless – WPA
WPA reprezintă o soluție de securitate mai inteligentă față de WEP, folosește metoda de criptare TKIP (Temporal Key Integrity Protocol) pentru a criptare cheia WEP cât mai rapid, astfel încât cheia nu poate fi decriptată. Atunci când această tehnică este configurată corect, se realizează o confidențialitate automată a datelor, fiind disponibilă tuturor utilizatorilor autorizați din rețeaua wireless. Toate componentele utilizate în cadrul WPA sunt considerate un subset ce aparțin extensiei 802.11i, fiind compatibile cu dispozitivele 802.11i. WPA furnizează două moduri:
– Enterprise/ WPA
– Personal/ WPA-PSK
În cadrul Enterprise WPA se folosește componenta centralizată, cunoscută sub denumirea de Server Radius, care este responsabil pentru autentificarea și autorizarea utilizatorilor cu Access Point-ul (AP).
În varianta personală, nu putem vorbi despre conceptul de Server Radius, funcționând prin intermediul „pre shred key”, utilizatorii având nevoie de două lucruri pentru a accesa rețeaua wireless și anume: SSID-ul rețelei și cheia WPA generată de Access Point.
Figura 5.2.5 Vizualizare generală configurație wireless – WPA
5.2.1 Protocolul de Integritate cu Cheie Temporală (Temporal Key Integrity Protocol)
TKIP este definit în specificațiile IEEE 802.11i și se adresează etapei de criptare din cadrul securității wireless. TKIP a fost construit pe baza constrângerii de a funcționa pe echipamentul hardware deja existent, deci nu putea să necesite operații avansate de criptare.
TKIP îmbracă existentul algoritm de criptare al WEP, folosind același motor de codare și algoritmul RC4, dar utilizează o cheie de lungime 128 de biți. Astfel, TKIP rezolvă una din problemele WEP, cheia de criptare prea scurtă.
Trăsătura fundamentală a protocolului TKIP este aceea că schimbă cheia de criptare pentru fiecare pachet, de aceea se numește „Temporar”. Cheia este compusă dintr-o cheie de bază, adresa MAC a stației de transmisie și numărul de ordine al pachetului în cadrul transmisiei. Operația de combinare a acestor elemente este construită astfel încât să necesite minimum de efort computațional din partea stațiilor și a punctelor de acces, dar să ofere suficientă putere criptografică pentru a nu fi ușor spartă.
Fiecare pachet transmis prin TKIP are un număr de ordine unic pe 48 de biți, care este incrementat de fiecare dată când un pachet nou este transmis. Acest număr de ordine este folosit ca vector de inițializare și ca parte din cadrul cheii, astfel asigurându-se unicitatea cheii de criptare pentru fiecare pachet. Acest aspect rezolvă un alt dezavantaj al WEP, atacurile de coliziune, ce pot apărea când aceeași cheie este folosită pentru pachete diferite.
Utilizarea numărului de ordine al pachetului ca vector de inițializare îmbunătățește un alt neajuns al WEP, atacurile prin reluare (replay attacks). O secvență numerică de 48 de biți necesită mult timp pentru a se repeta, astfel nimeni nu poate retransmite un pachet vechi într-o conexiune wireless pentru că vor fi detectate ca fiind în afara ordonării în curs.
Un alt aspect defectuos al WEP este reutilizarea unei chei binecunoscute de către toate stațiile din WLAN. TKIP rezolvă acest dezavantaj prin generarea cheii de bază care este combinată cu cheia de pe fiecare pachet. O nouă cheie este generată de fiecare dată când o stație stabilește o legătură cu un punct de acces. Cheia de bază este obținută prin amestecarea unei valori secrete de sesiune cu niște numere aleatoare generate de punctul de acces și de stație, precum și a adreselor MAC ale stației și AP.
5.2.2 Arhitectura WPA
Odată cu apariția WPA, ca variantă îmbunătățită față de WEP, a apărut și o nouă tehnică de securitate care oferă o complexitate în ceea ce privește metodele de criptare și autentificare, utilizând TKIP împreună cu MIC (Message Integrity Check). Scopul MIC este de a oferi protecția datelor utilizate pentru a nu fi supuse unor editări neautorizate sau a violării lor. Algoritmul utilizează un digest (rezumat de mesaj) criptografic al mesajului inițial/original sub forma unei sume de control. Cu ajutorul acestuia se oferă integritatea necesară pachetelor de date transmise în cadrul rețelei wireless.
Figura 5.2.6 Criptare WPA
Există 5 pași esențiali care ajută la definirea funcționalității utilizării WPA pentru a cripta datele utilizând algoritmul de criptare TKIP cu ajutorul metodei integrității MIC.
1.Pentru a genera TKTA pe partea de tranmisie a TKIP, vor fi combinate în primă fază trei lucruri, și anume: vectorul de inițializare, cheia temporală și adresa MAC a NIC. Pentru a înlătura atacurile de tip reply, transmițătorul TKIP utilizează TSC care are o lungime de 48 biți și servește ca vector de inițializare IV, TSC reprezentând o combinație de două domenii: TH și TL, indică faptul că TSC0 și TSC1 aparțin TL și TSC2, TCS3, TSC4 și TSC5 aparțin TH. În al doilea rând, TIP utilizează, de asemenea, o cheie temporală care are o lungime de 128 de biți și este distribuită între Access Point și utilizator. În al treilea rând, TKIP utilizează translatorul adresei specifică interfeței cardului de rețea, care are o lungime de 48 biți.
2.Cheia temporală generată pentru adresa translatorului (TKTA), care are o lungime de 80 biți, împreună cu TL sunt transferate la faza a doua pentru a genera o cheie pachet, separată pentru fiecare pachet de lungime de 128 de biți. Scopul utilizării TL este de a evita selectarea cheilor slabe.
3.Operația XOR este realizată pe pachet per cheie și pe TSC complet prin algoritmul RC4 pentru a genera cheia WEP:
4.Mesajul de verificare a integrității (MIC) are o lungime de 64 de biți și este combinat cu textul simplu. TKIP introduce noul cod de integritate a mesajelor criptografice. Transmițătorul TKIP utilizează întotdeauna adăugarea acestui nou tip MIC înaintea ICV. Transmițătorul și receptorul cunosc numai acest cod MIC, în partea de recepție, receptorul verifică MIC-ul după decriptarea datelor.
5.În procesul de încapsulre WEP, operația XOR este efectuată pe cheia WEP generată mai devreme și rezultatul combinat între MIC și textul simplu, astfel generându-se mesajul criptat.
Întregul proces de criptare și formatul pachetului TKIP este prezentat în figura de mai sus.
5.2.3 Dezavantaje WPA
Tehnologia WPA are însă și un dezavantaj și anume utilizarea cheilor PSK (Pre-shered Keys), acestea fiind considerate utile în ceea ce privește business-urile mici și clienții casnici, care nu au nevoie sa utilizeze serverul de autentificare sau întreaga arhitectură 802.1 x.
Tool-urile WPA folosesc procesul handshake pentru a schimba cheile de criptare a datelor în cadrul sesiunii wireless, între Acces Point și utilizatorul final. Atacatorul care nu cunoaște PSK poate face o presupunere, cunoscută sub denumirea de atac de forță. Dacă se utilizează o frază scurtă sau slabă de acces, prin utilizarea atacului de forță se poate face o estimare a PSK. În practică va exista o singură PSK pentru ESS, care dacă va fi indentificată de către intrus, atunci acesta poate fi considerat membru al unui ESS, iar intrusul poate accesa întregul ESS.
PSK este utilizat de standard pentru a realiza implementări mai simple și mai puțin periculoase în cadrul rețelelor mici. Riscul utilizării PSK împotriva atacurilor interne este relativ și asemănător ca în cazul standardului WEP, iar în ceea ce privește riscul utilizării PSK-urilor bazate pe formularele de access împotriva atacurilor externe este mai ridicat față de WEP.
5.2.4 Atacuri în WPA
Este necesar ca fiecare intrus să capteze în primul rând traficul de date în cadrul rețelei până când și dacă atacatorul nu găsește cererea ARP criptată sau răspunsul. În unele cazuri, aceste tipuri de pachete pot fi ușor recunoscute de atacator în funție de lungimea caracteristicilor. Pe de altă parte, WEP și TKIP nu pot proteja adresele sursă și destinație, astfel trimițând întotdeauna adresele către adresa de difuzare (broadcast) a rețelei. În acest caz, intrusul cunoaște în pricipiu, textul simplu fără a știi utimii 8 biți din adresa sursă, respectiv destinație, 64 biți din MIC și 32 biți din ICV. Ultima parte a textului simplu o reprezintă combinația dintre MIC și ICV cu lungimea de 12 octeți. Acum, intrusul introduce o versiune îmbunătățită a atacului, denumită CHOPCHOP, pentru a decripta textul neidentificat care se transmite în mediul de comunicare. În practică, WPA sugerează două soluții pentru a împiedică intrusul să aplice atacul CHOPCHOP.
În primul rând, dacă utilizatorul final primește pachetul cu un ICV nevalid, rețeaua presupune că această greșeală este o eroare de transmisie, astfel pachetul este rejectat. În al doilea rând, dacă codul MIC este incorect, atunci rețeaua consideră că are loc un atac, indiferent dacă valoare ICV este corectă, astfel Acess Point-ul este informat prin schimbarea cadrului de eroare din partea clientului. Comunicarea este oprită automat, dacă rețeaua a primit mai mult de două rapoarte de eroare MIC în interval de 60 de secunde. După 60 de secunde, cheile sunt reinițializare și comunicarea se reia.
Dacă un pachet este primit cu succes de către utilizatorul final, este verificat numărătorul de secvențe temporale (TSC). Dacă TSC este mai mic decât cel recepționat curent, pachetul este văzut ca fiind necorespunzător și va fi respins.
În ciuda tuturor aceste atacuri CHOPCHOP este încă valabil. Pur și simplu, intrusul încearcă să se concentreze asupra unor canale speciale QoS pe care pachetul inițial este trimis.
În mod frecvent rețeaua constă din mai multe canale care nu au date, sau dețin un volum mic de date, unde numărul TSC este încă mai mic decât contorul curent. Există două variante, dacă instrusul greșește ultimul octet, pachetele vor fi aruncate. Dacă atacatorul află ultimul octet, utilizatorii finali trimit un cadru MIC, dar în acest caz numărul TSC nu este actualizat. Atacatorul va avea însă 60 de secunde la dispoziție, altfel utilizatorii finali vor începe să blocheze comunicarea. În intervalul de 12 minute, intrusul poate recunoaște ultimii 12 octeți din textul simplu care conține MIC și ICV. Pentru a afla adresele sursă și destinație, atacatorul poate face o estimare bazată pe ICV decriptată. După identificarea MIC și a textului simplu, atacatorul trebuie să găsească cheia utilizată pentru protecția pachetelor prin simpla inversare a algoritmului MICHAEL. După aflarea MIC și a cheii, atacatorul este capabil să trimită pachetele către utilizatorul final pe canalele QoS unde numărul TSC este mai mic. Când atacul este implementat, atacatorul poate identifica cheia în interval de 6-7 minute, deoarece el trebuie să cunoască doar ICV-ul cu 4 octeți utilizând CHOPCHOP. Celelalte informații, adică adresa IP sursă și destinație, sunt ușor de aflat , iar cheia MIC poate fi ușor identificată. În scopul de a atenua acest tip de atac, furnizorii sugerează utilizarea CCMP (AES) în loc de TKIP.
5.2.5 Concluzii WPA
În standardul IEEE 802.11 a fost introdus în anul 2002, Wi-Fi Protected Access (WPA), pentru a depășii toate vulnerabilitățile disponibile în tehnica de criptare WEP cu 64 sau 128 de biți. De asemenea, WPA oferă o soluție de autentificare a utilizatorului care nu este disponibilă în WEP. Practic, WPA este un pas intermediar între specificațiile WEP și IEEE 802.11i și este consideat a fi un subset al IEEE 802.11i.
WPA este considerat un substitut al WEP, introducând protocolul de integritate temporală a cheilor (TKIP) cu ajutorul verificării integrității mesajelor (MIC). WPA oferă o nouă facilitate de autentificare reciprocă între utilizatorul final și Access Point, utilizând una dintre cele trei tehnologii: IEEE 802.1X, autentificarea EAP (Protocolul de autentificare extensibilă) sau tehnologia PSK (Pre-Shared Key).
Inițial scopul introducerii tehnologiei WPA este de a implementa rapid rețelele cu tehnica WPA, o tehnică mult mai facilă, ieftină, cu o reducere în ceea ce privește partea hardware și software, însă fără a reduce performanțelele rețelei. WPA este capabil să asigure un nivel ridicat al rețelelor personale și de tipul Enterprise, datele schimbate în cadrul acestor rețele fiind protejate împotriva accesului neautorizat, numai utilizatorii autorizați reușind să acceseze rețeaua cu ușurință. Dezvantajul major al WPA îl reprezintă atacurile de tipul brute force (atacuri forțate).
5.3 WPA2 (Wi-Fi Protected Access 2)
În topologia de rețea realizată în aplicația Cisco Packet Tracer, partea dreaptă, denumită Branch 2 corespunde unei configurații din punct de vedere al securității cu tehnica WPA2. Aceasta conține următoarele echipamente: Branch-2-Wireless, Host 3 și Host 3 Laptop. La nivelul Branch2-R-Wireless a fost utilizată tehnică de securitate denumită WPA2 (Wi-Fi Protected Access2) cu AES. Astfel, cele două stații vor fi conectate wireless în rețea prin intermediul Branch2-R-Wireless, acestă făcând posibil accesul către exterior prin interfața WAN 0/0, conectată la routerul Branch2, interfața Fa0/0.
Figura 5.3.1 Implentare WPA 2
IEEE 802.11i reprezintă un standard suplimentar încheiat în toamna anului 2004, cu scopul de a îmbunătăți autentificarea și criptarea. WPA2 a introdus un nou concept denumit RSN prin utilizarea unui număr mărit de protocoale IEEE 802.11 MAC layer care ajută la asigurarea unei gestionări și autentificări suplimentare în cadrul rețelei. IEEE 802.11i a venit cu îmbunătățiri la cele trei domenii principale pentru a asigura securitatea în cadrul IEEE 802.11b, standardul WEP neasigurând o securitate benifică.
Autentificare
Managementul cheilor
Transferul de date
În figura de mai jos se pot observa setările de bază ale echipamentului wireless, WRT300N, Branch1-R-Wireless, acestea fiind divizate în două secțiuni, partea de LAN și partea de WAN, unde sunt specificate adresele IP, masca de rețea și default gateway-ul.
Figura 5.3.2 Setări bază Router WRT30N – WPA 2
Arhitectura WPA2 este complet diferită dacă o comparăm cu standardele anterioare, WPA și WEP, întrucât WPA2 utiliează o singură componentă pentru mangamentul cheilor și integritatea mesajelor, acest fapt realizându-se pe utilizarea AES (Advanced encryption security). Există două scopuri ale CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol):
Pentru protecția datelor împotriva accesului neautorizat se utilizează modul Counter
CBC-MAC este folosit pentru a asigura integritatea mesajelor în rețea
În standardul IEEE 802.11i, 802.1X și EAP sunt considerate a fi scheme de autentificare în cadrul rețelei. Acestea reprezintă caracteristicile de securitate îmbunătățite ale standardului WPA2 care folosește distribuția cheilor dinamice și schema de criptare nouă, diferită față de WPA și WEP. În WPA2, RADIUS este cunoscut ca protocol de tip AAA care funcționează ca o autentificare a utilizatorului în mecanismul de transport EAP. Utilizarea EAP și RADIUS pentru noile tehnici de securitate în ceea ce privește distribuția și managementul cheilor reprezintă un plus având în vedere că acest fapt nu era disponibil în algoritmul WEP.
În algoritmul WPA2, cheia este generată pentru toate pachetele de date criptate care sunt pregătite pentru a fi trimise wireless. Astfel, prin utilizarea acestei tehnici, complexitatea decodării pachetului trimis în rețea va crește și decriptarea cheii va deveni foarte dificilă pentru atacator. Aceste noi tehnici sunt mult mai sigure și scalabile în special în rețelele mari, dar și foarte complexe în comparație cu mecanismele actuale de securitate wireless. WPA2 vine cu un set de avantaje față de tehnicile WEP și WPA:
Furnizează o securitate mai bună prin utilizarea AES
O gestionare a cheilor mult mai eficientă
Utilizează procesul de autentificare în două direcție, protejând astfel împotriva atacului MITM
Utilizarea CBC-MAC ce oferă performanțe îmbunătățite a integrității mesajelor
Figura 5.3.3 Setări de bază la nivel wireless – WPA 2
Figura 5.3.4 Setări securitate wireless – WPA 2
5.3.1 Counter Mode- Cipher Block Chaining MAC Protocol
CCMP reprezintă un algoritm de criptare al IEEE 802.11i, ce utilizează un mod particular de operare denumit AES. Cu alte cuvinte, acest mod de operare este un algoritm cu scopul de a schimba textul de cifru în text simplu și invers. Scopul principal al utilizării tehnicii de criptare este de a asigura confidențialitatea datelor, astfel demonstrându-se faptul că tehnica anterioară de criptare nu a reușit să furnizeze o integritate a datelor. Pentru a asigura integritatea datelor, se adaugă un nou mesaj de autentificare ce conține și mesajul original. Codul de autentificare a mesajului este necesar pentru funcția cheii criptografice, astfel generând valoarea integrității ICV.
În standardul IEEE 802.11i, CCMP se împarte în două părți:
Modul Counter „CTR-Mode” – utilizat în AES pentru a cripta datele
CBC-MAC-Mode – utilizat pentru a crea un cod MIC care oferă integritatea datelor
Aceeași cheie temporală este utilizată de ambele moduri, de 128 biți sau 16 octeți, generate în timpul autentificării 802.1x pentru criptare și calculul MIC. CCMP folosește cheia temporală recent obțiunută pentru fiecare sesiune. De asemenea, utilizează valori specifice pentru ficare cadru separat și asigură protecție prin utilizarea cheii temporale, prin intermediul unui PN (packet number) de 48 biți. Garanțiile de securitate au eșuat când aceeași cheie temporală va încerca să reutilizeze PN.
5.3.2 Arhitectura WPA2
Conținutul textului simplu al unității de date pentru protocolul mesajului (MPDU) este criptat de către CCMP și de asemenea efectuează operația de încapsulare a textului cifru. Procesul de criptare a CCMP în 802.11i este descris mai jos:
Pentru fiecare MPDU este necesar un nou PN, care este obținut prin incrementarea PN-ului precedent, deoarece aceeași cheie temporală utilizează un PN diferit, înseamnă că PN nu poarte fi folosit mai mult de o singură dată cu aceeași cheie temporală. Pentru fiecare MPDU, PN este incrementat.
AAD pentru CCM este construit din câmpurile disponibile în antetul MPDU, iar câmpurile care sunt disponibile în AAD sunt de asemenea furnizate de integritatea algoritmului CCM.
CCMP nonce este construit din trei lucruri: PN, câmpul prioritar al MPDU și A2 considerat ca o adresă a MPDU. Valoarea zero este setată ca fiind valoarea rezervată pentru câmpul prioritar.
Antetul CCMP este construit prin combinarea identificatorului de chei și a noului PN, iar lungimea antetului CCMP este de 64 biți.
Textul cifru și MIC sunt generate de combinația realizată între cheia temporală, datele AAD, nonce și MPDU. Această etapă de combinare este cunosctă sub numele proces originator CCM.
Datele criptate și MIC sunt concatenate cu antetul inițial CCMP și antetul MDPU care sunt deja construite pentru a forma un MPDU criptat.
Figura 5.3.5 Criptare WPA 2
Procesul de capsulare al textului simplu al MPDU și decriptare a textului de cifru MPDU prin utilizarea CCMP în 802.11i este descris mai jos:
Valoarea AAD și nonce este reconstruită din MPDU criptată
AAD este reconstruit din antetul MPDU al MDPU criptat
Valoarea nonce este reconstruită din trei lucruri: A2 cunoscută ca și adresă a MPDU, PN și câmpul de prioritate al MPDU
Folosind verificarea integrității CCM, MIC este obținut din PN, textul simplu și cheia temporală.
Textul simplu al MPDU poate fi format prin combinarea textului cifru AAD, nonce, cheia temporală. MIC și texul cifrat al MDPU pe partea decriptată CCM. În acest proces se verifică integritatea textului simplu și AAD.
Textul simplu al MPDU decriptat și antetul MAC original al MPDU sunt combinate pentru a genera textul simplu MPDU.
MPDU-urile sunt împiedicate de replay prin compararea PN-ului în MPDU dacă este mai mare decât contorul real care este deja atribuit înainte de criptare.
Procesul de decapsulare a textului simplu și a textului cifrat este descris în figura de mai jos:
Figura 5.3.6 Decriptare WPA 2
5.3.3 Dezavantaje WPA2
WPA2 prezintă dezavantaje limitate în comparație cu soluția de securitată oferită de WEP sau WPA.
Tehnologia WPA2 este destul de costisitoare pentru rețelele deja implementate, datorită noii criptări CCMP și AES, care pentru a fi implementate, necesită schimbarea hardware în rețea.
Uneori, rețeaua este vulnerabilă la riscurile de securitate, pentru că WPA2 oferă încredere totală asupra cheilor secretizate de sesiune.
WPA2 necesită mai mult hardware, fapt datorat autentificării în două direcții, între user și Access Point.
Tehnologia este mai dificilă de înțeles
Figura 5.3.7 Vizualizare generală configurație wireless – WPA
5.3.4 Atacuri în WPA2
Acest atac este posibil numai dacă valoarea contorului inițial al AES CCMP este cunoscută în mod semnificativ, altfel acest atac nu are nicio importanță. Studiile curente demonstrează că dacă atacatorul are cunoștiințe suficiente, el poarte ghici cu ușurință valoarea contorului inițial AES CCMP de 802.11 WLAN și valoarea nonce poate fi ușor calculată. Nonce este o combinație între: câmpul prioritar, antetul adresei MAC și PN. Instrusul vrea să cunoască valoarea contorului inițial și dimensiunea conținutului. Conținutul poate fi ușor identificat din informațiile prioritare. Comunicarea wireless este sensibilă în natură, dacă instrusul deține dispozitive compatibile, atunci poate să realizeze un sniff asupra MPDU-urilor. Antetul CCMP și antetul MAC sunt transmise cu textul simplu și locația lor este deja fixată în MPDU. Dacă atacatorul dorește să verifice valoarea nonce calcuată deja, atunci poate extrage A2, prioritatea antetului MAC și câmpul PN din antetul CCMP. Pentru a găsi valoarea contorului este necesar să găsească mărimea conținutului și mărimea IEEE 802.11 MPDU-urile sunt deja definite ca fiind 2312 octeți care conțin 2296 octeți pentru date și 8 pentru codul MIC și 8 pentru antetul CCMP. Odată ce instrusul găsește dimensiunea conținutului, el poate calcula cu ușurință valoarea inițială a contorului (128 biți), combinând câmpul Flags, câmpul nonce și mărimea conținutului util. Această valoare a contorului inițial oferă o bază pentru memoria temporală/
Atacurile TMTO sunt utilizate doar pentru a găsi căutarea completă a cheilor și a lucra întotdeauna cu datele cifrate. Acest tip de atac este posibil numai dacă atacatorul are o bază de date imensă pentru a ataca cheile secrete. În etapa de atac, atacatorul poate folosi această bază de date și are capacitatea de a ataca mai multe chei secrete diferite la un moment dat. Beneficiul acestui tip de atac este faptul că în timpul atacului nu este nevoie de textul simplu. Acest atac este cunoscut în cazul în care în timpul atacului există o lipsă de fiabilitate, iar rețeaua utilizează mai multe chei secrete. Numărul mare de date disponibile în rețea joacă un rol important în succesul atacului TMTO, iar planul atacatorului despre cum să atace este de asemenea important. Contorul inișial și criptarea în modul „contra” sunt incrementate în continuu în aceeași sesiune. Se remarcă faptul că mărimea MPDU în CCMP este de 2296 octeți și nu există nici o limită superioară care este fixată pentru MPDU-urile dintr-o sesiune. Prin urmare, această cantitate de date este fezabilă pentru a ataca orice rețea utilizând TMTO. Este evident că modul contor se confruntă cu amenințări din cauza atacului TMTO. În cazul în care contorul inițial și contorul de actualizare sunt la îndemna atacatorului atunci atacul TMTO are loc cu succes. Atacul TMTO utilizează o formulă 2n/3 care va ajuta la calcuarea mărimii efective a rețelei, unde n este dimensiunea cheii difrate care este de 128 biți în modul AES. Prin urmare, diminesiunea efectivp a cheii TMTO poate fi dată ca 2×128/3= aprox 85 biți. Pentru a atenua atacul de precalul al TMTO există trei sugestii de bază:
Dimensiunea cheii ar trebui să fie mai mare decât 128 biți.
Folosirea a cel puțin 64 biți în contorul inițial, care sunt neidentificați de către atacatorul și incluși ca parte a cheii pentru modul AES
Utilizarea „OR” ca parte identificabilă, dar identic alocată componenta în contorul inițial
5.3.4 Concluzii WPA2
WPA2 nu este introdus pentru a depăși problemele WPA. Se poarte afirma că WPA are multe caracteristici identice cu WPA2. Principala diferință fiind AES folosind algoritmul CCMP pentru criptarea complexă a datelor, în timp ce WPA utilizează TKIP pentru criptare. AES oferă o securitate suficientă pentru a îndeplini cerințele Standardului Federal de Procesare a Informațiilor (FIPS). Singurul dezavantaj al utilizării AES este necesitatea echipamentelor noi sau suplimentare pentru rețelele WLAN existente și necesitatea unor cipuri specifice pentru controul criptării și decriptării.
Pentru o lungă perioadă de timp, securitatea este considerată o sarcină majoră pentru a asigura confidențialitatea fiecărei rețele WLAN. WPA2 acceptă două tipuri ca și WPA: enterprise și home sau versiune personală. Versiunea personală funcționează cu o cheie pre-partajată pentru autentificare, iar modul enterprise funcționează cu ajutorul serverului 802.1x și RADIUS. Dispozitivele WPA2 sunt compatibile cu dispozitivile WPA, iar dispozitivele anterioare WPA pot fi upgradate către WPA2 numai dacă suportă AES. Din actualele studii reise că WPA2 varianta personală nu este capabilă să ofere o securitate completă și se confruntă cu multe amenințări precum: spoofing MAC, atacuri DoS, etc.
Prin urmare, WPA2 finalizează versiunea IEEE802.11i și este considerată o modalitate complexă și sigură pentru rețelele wireless din punct de vedere al securității, în special pentru rețelele de tipul enterprise.
CAPITOLUL 6. INSTRUMENTE SOFTWARE UTILIZATE
Cisco Packet Tracer
Packet tracer este un simulator de rețea dezvoltat de Cisco System, fiind disponibil pe sistemele de operare Microsoft Windows și Linux, având ca scop utilizarea în domeniul de formare și învățare, dar și în domeniul cercetării diverselor topologii simple în domeniul rețelelor de calculatoare.
Packet Tracer oferă avantajele vizuale comparativ cu alte aplicații de simulare, oferind o metodă extinsă a proceselor de învățare, ajutând la rezolvarea unor probleme uzuale întâlnite inclusiv de către administratorii de rețele. Software-ul oferă multiple variante cu scopul de a demonstra diverse concepte legate de proiectare și configurare în cadrul rețelelor, oferind utilizatorilor o interfață cu linii de comandă.
Figura 6.1 Spațiu de lucru Packet Tracer
Interfața conține zece câmpuri principale, enumerate mai jos:
Bara principala de meniu: furnizează accesul către File, Options și Help.
Bara main tool: conține scurtături către comenzile de File și Edit, dar și pentru butoanele de Zoom, Device Temeplate Manager și paleta de desen.
Bara common tools: accesul pentru diverse tool-uri precum: Select, Add Simple/Comple PDU, Place Note, Delete, Move Layout, Delete.
Bara Logical/Physical: face trecerea între cele două moduri de workspace.
Spațiul de lucru: locul unde se poate „desena” rețeaua dorită
Butonul Realtime/Simulation: posibilitatea de trecere în modul Realtime sau Simulation Mode.
Spațiul componentelor de rețea: oferă posibilitatea de a alege echipamente și conexiuni utilizate în spațiul de lucru.
Spațiul ce conține specificațiile echipamentelor.
Spațiul de pachete: administrarea pachetelor pe care le utilizați în timpul simulării în cadrul rețelei.
Graphical Network Simulator 3
Graphical Network Simulator, după cum îi spune și numele reprezintă un simulator grafic de rețea în care avem posibilitatea de a realiza simulări asupra unei rețele complexe. GNS3 este o simulator util inclusiv în laboratoarele de rețelistică, poate utilizat și de către administratori în vederea proietării unei topologii de rețea. Programul oferă permisiunea de a realiza vizual o rețea bazată pe diverse echipamente, cum ar fi routere, firewall, switch etc. Principalele caracteristici folositoare în simularea unor rețele: se pot realiza topologii complexe de rețea, simularea are loc prin emularea unor platforme de tip IOS CISCO, analiza traficului și a pachetelor prin intermediul programului Wireshark.
GNS3 reprezintă o interfață pentru Dynamips, realizând o comunicare cu ajutorul unui hipervizor. Referitor la aplicația Dynamips, aceasta reprezintă o aplicație gratuită care simulează un sistem de operare de tip Cisco. Platformele care pot fi emulate sunt: 1700, 2600, 3600 și 7200. În lucrarea de față a fost folosită pentru routerele Cisco, platforma 7200. Prin intermediul Dynamips folosind resursele calculatorului, utilzatorii pot crea routere virtuale care folosesc un sistem de operare Cisco, simulând un comportament real.
Chiar dacă prezintă dezavantajul unui throughpout de 1 kbps, acesta permite emularea necesară pentru realizarea unei simulări sau a unei testări pentru o topologie de rețea.
În ceea ce privește realizarea unei topologii de rețea în GNS3, este destul de facilă de realizat în special pentru persoanele care au interacționat ulterior cu programe cum ar fi: Cisco Packet Tracer, Opnet. Pentru a putea adăuga și folosi componentele Cisco utilizatorii trebuie să insereze și să utilizeze imaginile IOS.
În figura 5.1 este prezentat spațiul de luru al programului GNS3, acesta fiind divizat în patru zone principale, cel din stânga reprezentând un tip de meniu care ne prezintă nodurile disponibile utilizării. Referitor la panoul din dreapta, acesta evidențiză un sumar al configurației. Secțiunea de mijloc conține două porțiuni, cea de sus reprezintă spațiul de lucru, iar cea de jos conține consola de gestionare pentru Dynagen.
Înainte de a începe o configurație de rețea utilizatorii sunt nevoiți sa realizeze câțiva pași suplimentari: pentru fiecare router trebuie încarcată imaginea sa IOS specifică, pentru a reduce consumul resurselor al calculatorului trebuie definită valoarea Idle PC. După aceste setări, routerele pot fi adăugate prin tragere în spațiul de lucru, iar apoi sunt configurate sloturile de tip adaptor astfel încât se va stabili tipul de conexiune. Ulterior pentru conectarea routerelor, programul conține un buton denumit „Add a link”, iar utilizatorul are sarcina de a alege corect tipul de conexiune.
Figura 6.2 Spațiul de lucru GNS3
Oracle Virtual Box Machine
Oracle VM Virtual Box este un software de virtualizare care permite utilizatorilor folosirea pe un singur computer posibilitatea rulării simultane a mai multor sisteme de operare. Software-ul a fost proiectat de către IT-ști profesioniști din cadrul Oracle, oferind posibilitatea rulării pe sistemele Microsoft Windows, Mac OS X, Linux și Oracle Solaris, fiind ideal pentru testarea, dezvoltarea, implementarea și demonstrarea soluțiilor diverselor platforme pe o singură mașină.
Oracle VM Virtual Box a fost proiectat pentru a beneficia de inovațiile aduse de platforma hardware x86, fiind ușor de instalat și utilizat. Cu toate acestea, beneficiază și de un motor de virtualizare extrem de rapid și puternic, având o reputație bine câștigată pentru viteza și agilitaea oferită. Oracle VM Virtual Box conține funcții inovatoare precum: un sistem puternic de virtualizare și o gamă largă de platforme acceptate pentru sistemul de operare.
Figura 6.3 Interfață Oracle Virtual Box
Kali Linux
Kali reprezintă o distribuție de tipul Linux ce are la bază Debian GNU/Linux, realizată în scopul securității informatice, fiind gestionată de către grupul Offensive Security. Kali este cunoscut ca fiind succesorul sistemului BackTrack Linux.
Distribuția Linux utilizată în mod constant de către hackeri, având un amalgam de programare preinstalate, este cunoscută sub denumirea de Kali. Aceasta poate oferi diverse aplicații specifice în domeniul securității, cu aspecte detaliate pe latura vulnerabilităților sistemelor, pe partea de testare. Pe lângă aceste aspecte, folosește o grafică interesantă și plăcută, dar și cu multitudine de unelte de hacking.
Figura 6.4 Interfață Kali Linux
Wireshark
Wireshark este un tip de program open source și de asemenea gratuit, care realizează o analiză asupra pachetelor, dar și asupra traficului din rețea. Programul Wireshark este un program realizat în limbajul de programare C.
Printr-o configurare a interfeței în modul promiscuu, un utilizator poate să facă o analiză asupra traficului total dintr-o rețea. Modul permite procesarea întregului trafic din rețea și nu doar traficului care trece prin interfața aleasă.
Aplicația oferă o serie destul de mare de funcționalități, cum ar fi:
Inspectarea unei game variate de protocoale
Oferă o interfață specifică navigării prin conținutul pachetelor, denumit packet broswer
Oferă o analiză și în modul offline și de asemenea captura pachetelor live
Portabilitate, existând versiuni compatibile pentru Linux, Solaris, Windows, etc.
Oferă posibilități variate de filtrare a capturilor
Exportarea datelor poate avea loc în diferite format, inclusiv in simplu text.
Pentru a realiza capturarea pachetelor, Wireshark folosește Application Programming
Interface sau pe scurt API pcap, însă doar pentru rețelele care suportă API. Utilizarea programului Wireshark prezintă și probleme de securitate în ceea ce privește sistemul deoarce pentru a putea realiza captura unor pachet pe o interfață din rețea sunt necesare drepturile de administrator. Un alt dezavantaj destul de important este faptul că într-o rețea destul de complexă având dimensiuni considerabile, capturile realizate asupra pachetelor pot ajunge la diminesiuni mari, iar acest lucru ar duce la consmul de resurse, parțiale sau totale, în ceea ce privește sistemul.
În ceea ce privește Dynagen reprezintă o interfață pentru Dynamips, ele comunicând prin intermediul unui hipervizor. Un dezavantaj major când se utilizează Dynagen este faptul că procesorul este dus la funcționare maximă de 100% chiar dacă routerul nu este accesat.
Wireshark reprezintă cea mai eficientă soluție în ceea ce privește monitorizarea și analiza traficului sau a pachetelor din cadrul unei topologii de rețea.
Figura 6.5 Interfață Wireshark
CAPITOLUL 7. Implementarea topologiei și analiza protocoalelor utilizate
7.1 Topologie rețea GNS3
Figura 7.1 Topologia rețelei în GNS3
Configurarea echipamentelor de rețea:
În topologie au fost folosite:
Cisco ASA 5500:
RAM: 1024 MiB
Model interfață rețea: e1000
Initrd: asa842-initrd.gz
Kernel: asa842-vmlinuz
Router Cisco c7200:
RAM: 512 MiB
IOS: c7200-a3jk9s-mz.123-22.image
Model interfață rețea: PA-FE-TX
Kali Linux
Operating System: Ubuntu (64-bit)
Base Memory: 4096 MB
Video Memory: 16 MB
Controller Sata: kali.vdi (normal, 20.05 GB)
Network Adapter: Intel PRO/1000 MT Desktop
Descrierea conexiunilor în rețea:
– Branch1-ASA: interfața Ethernet0 se conectează la ISP3; interfața Ethernet1 se conectează
la Branch1-R;
– Branch1-R: interfața Fastethernet 0/0 se conectează la Branch1-ASA; interfața Fastethernet 1/0 se conectează la Host2;
– Branch2-ASA: interfața Ethernet 0 se conectează la ISP2; interfața Ethernet 1 se conectează la Branch2-R;
– Branch2-R: interfața Fastethernet 0/0 se conectează la Branch2-ASA; interfața Fastethernet 1/0 se conectează la Host3;
– HQ-ASA: interfața Ethernet 0 se conectează la ISP1; interfața Ethernet 1 se conectează la
HQ-R;
– HQ-R: interfața Fastethernet 0/0 se conectează la HQ-ASA; interfața Fastethernet 1/0 se conectează la SW1 (Switch1);
– SW1 – Portul 2 se contectează la Host1; Portul 3 se conectează la Attacker (Ethernet 1);
– ISP1: interfața Fastethernet 0/0 se conectează la HQ-ASA; interfața Fastethernet 1/0 se conectează la ISP2; interfața Fastethernet 2/0 se conectează la ISP3;
– ISP2: interfața Fastethernet 0/0 se conectează la Branch2-ASA; interfața Fastethernet 1/0 se conectează la ISP3; interfața Fastethernet 2/0 se conectează la ISP1;
– ISP3: interfața Fastethernet 0/0 se conectează la Branch1-ASA; interfața Fastethernet 1/0 se conectează la ISP1; interfața Fastethernet 2/0 se conectează la ISP2.
7.2 Protocoale de securitate implementate în rețea
Pentru a se realiza securitatea datelor în cadrul rețelei realizate prin intermediul aplicației Graphical Network Simulator 3, am ales implementarea a trei metode de securitate, și anume: GRE (Generic Routing Encapsulation), IPSec (Internet Protocol Security) și GRE over IPSec. Cu toate acestea, ele oferă o protecție asupra datelor transferate prin rețea, dar nu pot oferi o securitate împotriva unor atacuri interne.
7.2.1 Generic Routing Encapsulation
Generic Routing Encapsulation este un protocol de tunelare dezvoltat de Cisco care poate încapsula o mare varietate de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor IP, creând o legătura virtuală punct la punct între routere-le aflate la distanță peste o rețea IP.
Obiectivul GRE este de a ruta pachetele încapsulate prin tunelul GRE, prin intermediul adreselor IP intermediare, așa numitul mecanism GRE. Când este trimis un pachet în rețea, prin utilizarea mecanismului GRE, acestuia i se adaugă un antet GRE (GRE Header) și un antet de expediere. Antetul GRE conține ruta pe care va fi trimis pachetul într-un mod forțat pentru a ajunge la destinație. Router-erele intermediare nu analizează conținutul pachetului, ele analizează doar adresa IP existentă, pe măsură ce transmit pachetul către punctul final al tunelului GRE. În momentul în care pachetul ajunge la destinație, pachetul este decapsulat, iar tunelarea GRE este înlăturată.
Tunelarea GRE joacă un rol important în ceea ce privește rețelele private virtuale. Prin intermediul mecanismului GRE, se pot trimite adrese IP private în interiorul unui pachet care folosește adrese IP reale, în acest mod rețeaua privată este extinsă prin Internet.
GRE este un protocol de tunelare dezvoltat de Cisco care poate înmagazina o multitudine de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor IP, creând o legătură virtuală punct la punct, între routere aflate la distanță, peste o rețea IP.
Totuși tunelarea GRE are și un dezavantaj major și anume că nu este considerat un protocol securizat, deoarce nu folosește criptarea. Criptarea este folosită de către Internet Protocol Security, prezentat mai jos.
Figura 7.2.1 Tunelare GRE
7.2.2 Internet Protocol Security (IPSec)
Internet Protocol Security sau IPSec, este o suită de protocoale care asigură securitatea unei rețele virtuale private prin Internet, prin utilizarea serviciilor de securitate criptografică. Cu IPsec pot fi dezvoltate soluții atât la distanță, cât și site-to-site.
În momentul în care un utilizator folosește o rețea privată virtuală, automat datele care traversează rețeaua publică își pot pierde confidențialitatea. Astfel un utilizator care folosește VPN este interesat de securizarea datelor. Securizarea datelor în cadrul VPN este oferită de Internet Protocol Security. Așa cum a fost concluzionat, realizarea VPN-urilor pe baza unei rețele publice, cum ar fi Internet, reduce enorm costurile.
Serviciile oferite de către IPSe oferă: autentificare, confidențialitate, integritate și controlul accesului. IPSec este probabil cel mai bun protocol în ceea ce privește păstrarea confidențialității și autenticității pachetelor trimise prin adrese IP. Protocolul este unul compatibil cu o gamă variată de standarde de criptare, fiind folosit pentru diferite sisteme de securitate, oferind avantajul semnăturii dgitale, chei publice sau autorizații.
Protocolul utilizează un algoritm pentru a realizare schimbul de chei între părți, numit Internet Key Exchange (IKE), care permit calculatoarelor să aleagă o cheie de sesiune în mod securizat. Pentru a se securiza o comunicație în rețea utilizând IPSec, se folosește o serie de politici și reguli, pentru a accepta în mod selectiv doar anumite comunicații. Politicile pentru protocolul IPSec pot fi create și de asemenea aplicate cu ajutorul Group Policy.
Figura7.2.2 IP Security
7.2.3 GRE over IPSec
Pentru ca fiecare capăt de tunel să nu încapsuleze nici o informație despre starea și disponibilitatea capătului de tunel de la distanță, tunelele GRE create trebuie să fie complete, fără o stare persistentă. O interfață de tunel GRE este funcțională de când este configurată și până când adresa sursă a tunelului este validă. De menționat este faptul că adresa IP destinație a tunelului GRE trebuie sa fie în permanență rutabilă.
Construirea unei rețele private virtuale folosind IPSec pentru realizarea conexiunii dintre capete are totuși anumite limitări, cum ar fi: protocolul IPSec criptează și decriptează doar traficul IP; nu este posibilă procesarea de către IPSec a traficului IP destinat unui mesaj de difuzare; pentru a fi configurat protocolul IPSec între două capete, este impusă rutarea statică.
Totuși dezavantajele meționate mai sus pot fi înlăturate prin configurarea unui tunel GRE și aplicarea ulterioară a protocolului IPSec. Când se utilizează o tunelare GRE îmbinată cu o protecție IPSec, se poate utiliza atât modul tunel care va adăuga un antet pachetelor GRE, cât și modul transport, care va folosi antetul inițial GRE.
Este recomandată să se utilizeze combinarea IPSec și GRE, deoarece mecanismul de încapsulare GRE adaugă un antet IP nou pachetului inițial. Acest lucru înseamnă ca trebuie să existe niște adrese IP sursă și destinație care să fie accesibile prin calea IP dintre noduri.
Folosirea celor două protocoale combinate realizează o configurare mai facilă a echipamentelor VPN. În utilizarea protocolului IPSec era necesară o anumită politica pentru a fi menționate subrețelele protejate, pentru a se realiza criptarea/decriptarea traficului, iar în momentul când se adaugă o nouă subrețea trebuia reînnoita structura la ambele capete. Pentru realizarea mecanismului GRE, regulile corespund doar traficului realizat între adresele de capăt ale tunelului.
O combinare a protocolului GRE cu protecție IPSec oferă posibilitatea de a anunța subrețelele protejate prin rularea unor protocoale dinamice. Rutarea dinamică este utilă mai ales în situațiile de eșec a transferului, putând astfel să dectectăm și să gestionăm interfețele picate.
Figura 7.2.3 GRE over IPSec
CAPITOLUL 8. Implementarea practică a scenariilor
Scenariul 1: Tunel GRE între Branch1 și Branch2
Figura 8.1.1 Tunel Branch1-R
Figura 8.1.2 Tunel Branch2-R
Configurarea tunelului GRE este exemplificată mai sus. După această configurare, pachetul „eșantion” (echo-request) circulă în rețea încapsulat, însă necriptat. Pentru analiza pachetului din Host2 către Host3, captarea s-a realizat pe interfața f0/0 a router-ului ISP3, iar pentru analiza pachetului din Host3 către Host2, captarea s-a realizat pe interfața f0/0 a router-ului ISP2. S-a observat că dimensiunea totală a pachetului este de 122 octeți. Din cele două capturi se observă o creștere a dimensiunii totale a pachetului până la 122 octeți, de asemenea putem distinge și încapsularea pachetului de nivel 3 OSI (Layer 3-Nivel rețea) într-un alt pachet care are ca adresă IP sursă, respectiv adresă IP destinație, capetele tunelului GRE.
Figura 8.1.3 Analiza ping H2 – H3
Figura 8.1.4 Analiza Ping H2 – H3 detalii part 1
Figura 8.1.5 Analiza Ping H2 – H3 detalii part 2
Scenariul 2: Tunel IPSec între HQ și Branch2
Pentru realizarea acestui scenariu am configurat politica ISAKMP cu următorii parametri:
Am utilizat o politică ikev1 cu prioritatea cea mai mare, respectiv 1:
HQ-ASA(config)# crypto ikev1 policy 1
Am utilizat autentificarea cu chei simetrice:
HQ-ASA(config-isakmp)#authentication pre-share
Pentru algortimul de criptare am utilizat algoritmul AES cu chei de 256 biți:
HQ-ASA(config-isakmp)#encryption aes-256
Algoritmul pentru hash utilizat este SHA:
HQ-ASA(config-isakmp)#hash sha
Grupul Diffie-Hellman este 2:
HQ-ASA(config-isakmp)#group 2
Durata de viață a unei asocieri este de 3600 secunde:
HQ-ASA(config-isakmp)#lifetime 3600
Am configurat tipul tunelului (Land to Land):
HQ-ASA(config )#tunnel-group 33.33.33.2 type ipsec-l2l
Am intrat în modul de configurare al atributelor tunelului:
HQ-ASA(config)# tunnel-group 33.33.33.2 ipsec-attributes
Am configurat cheia simetrică de autentificare:
HQ-ASA(config-tunnel-ipsec)#ikev1 pre-shared-key master
Am configurat transfor-set-ul ce conține algoritmii de criptare și hash pe care îi va utiliza tunelul:
HQ-ASA(config)#crypto ipsec ikev1 transform-set HQ-Br2 esp-aes-256 esp-sha-hmac
Am creat lista de acces „HQ-Br2-Map” ce identifică traficul dintre HQ și Branch2. Branch2-LAN este un obiect ce conține subnet-ul 10.10.3.0 cu masca de rețea 255.255.255.0 (toate adresele din Branch2)
HQ-ASA(config)#access-list HQ-Br2-Map extended permit ip object HQ-LAN object Branch2-LAN
Am construit un crypto map pentru a îngloba toate blocurile construite: se vor selecta adresele IP către Branch2
HQ-ASA(config)#crypto map HQ-Map 2 match address HQ-Br2-Map
Am setat celălat capăt al tunelului:
HQ-ASA(config)#crypto map HQ-Map21 set peer 33.33.33.2
Am configurat algoritmii de criptare și hash folosiți:
HQ-ASA(config)#crypto map HQ-Map 2 set ikev1 transform-set HQ-Br2
La final, se aplică harta nou creată pe interfața externă a firewall-ului:
HQ-ASA(config)#crypto map HQ-Map interface WAN
Configurația de mai sus este utilizata pentru firewall-ul HQ-ASA, pentru firewall-ul
Branch2-ASA se realizează analog aceeași pași de mai sus.
După ce este configurat tunelul se poate testa conexiunea. Am trimis un mesaj ICMP Echorequest de la Host1 către Host2.
Stabilirea asocierii IPSec între cele două echipamente se poate verifica utilizând: show
crypto ipsec sa. (figura de mai jos)
Figura 8.2.1 Verificare implementare ipsec HQ-ASA
Figura 8.2.2 Verificare implementare isakmp HQ-ASA
Figura 8.2.3 Analiza ping Host1 – Host3
Figura 8.2.4 Analiza detaliată ping H1 – Host 3
Din imaginile de mai sus se poate observa că dimensiunea pachetului „eșantion”(ping) a crescut din nou până la 166 octeți, pachetul fiind de data aceasta încapsulat.
Scenariul 3: Tunel GRE over IPSec între HQ și Branch1
Pentru a realiza această configurație, vom configura mai întai protocolul GRE pe cele două routere existente în cadrul acestor rețele și anume HQ-R și Branch1-R.
Figura 8.3.1 Tunel GRE HQ-R
Figura 8.3.2 Tunel GRE Branch1-R
Se va configura asemănator scenariului 3, protocolul IPSec pentru cele două firewall-uri.
Vom configura politica ISAKMP cu următorii parametri:
Vom folosi o politică ikev1 cu prioritatea 1 (cea mai mare)
HQ-ASA(config)# crypto ikev1 policy 1
Vom folosi autentificare cu chei simetrice
HQ-ASA(config-isakmp)#authentication pre-share
Ca algoritm de criptare se va folosi algoritmul AES cu chei de 256 biți.
HQ-ASA(config-isakmp)#encryption aes-256
Algoritmul pentru hash folosit va fi SHA
HQ-ASA(config-isakmp)#hash sha
Grupul Diffie-Hellman va fi 2
HQ-ASA(config-isakmp)#group 2
Durata de viață a unei asocieri va fi de 3600 secunde
HQ-ASA(config-isakmp)#lifetime 3600
Se configurează tipul tunelului (Land to land)
HQ-ASA(config )#tunnel-group 22.22.22.2 type ipsec-l2l
Se intră în modul de configurare al atributelor tunelului
HQ-ASA(config)# tunnel-group 22.22.22.2 ipsec-attributes
Se configurează cheia simetrică de autentificare
HQ-ASA(config-tunnel-ipsec)#ikev1 pre-shared-key master
Se configurează transform-set-ul ce conține algoritmii de criptare și hash pe care îi va folosi
tunelul.
HQ-ASA(config)#crypto ipsec ikev1 transform-set HQ-Br1 esp-aes-256 esp-sha-hmac
Se creează lista de acces “HQ-Br1-Map” ce identifică traficul dintre HQ si Branch 1. Branch2-LAN-GRE este un obiect ce conține adresa 192.168.2.2 (capatul tunelului GRE din
Branch 1).
HQ-ASA(config)#access-list HQ-Br1-Map extended permit ip object HQ-LAN object Branch1
Construim un crypto map pentru a îngloba toate blocurile construite:
Se vor selecta adresele IP catre Branch1
HQ-ASA(config)#crypto map HQ-Map 1 match address HQ-Br1-Map
Se setează celălalt capăt al tunelului
HQ-ASA(config)#crypto map HQ-Map 1 set peer 22.22.22.2
Se configurează algoritmii de criptare și hash folosiți.
HQ-ASA(config)#crypto map HQ-Map 1 set ikev1 transform-set HQ-Br1
În final se aplică harta nou creată pe interfața externă a firewall-ului:
HQ-ASA(config)#crypto map HQ-Map interface WAN
Analog se va configura și Branch1-ASA. După stabilirea asocierii de securitate tunelul este funcțional. Putem trimite pachetul eșantion de la Host1 către Host2.
Figura 8.3.3 Verificare implementare ipsec Branch1-ASA
Figura 8.3.4 Verificare implementare isakmp Branch1-ASA
În ceea ce privește acest scenariu, putem observa din figura de mai jos că protocolul IPSec realizează o criptare a datelor de la nivelul 3 al stivei OSI. În imaginea de mai jos putem vedea adresele de MAC de nivel 2, însă în ceea ce privește adresele de nivel 3, adică adresele IP, acestea sunt capetele tunelului. Conținutul mesajul (în special conținutul GRE) este criptat. În cadrul acestui scenariu putem observa că dimensiunea pachetului a ajuns la 182 octeți.
Figura 8.3.5 Analiza ping Host1 – Host2
Figura 8.3.6 Analiza detaliată ping Host1 – Host2
Scenariul 4: TCP connect flood – DoS using NPING
În acest scenariu se va realiza un atac de tipul TCP connect flood – DoS using NPING, unde atacatorul este denumit în topologia de rețea „Attacker” (Kali Linux), fiind conectat în rețeaua 10.10.1.0/24 având adresă IP 10.10.1.101/24.
Înaintea atacului conexiunea între Host 1 și Host 2 funcționează în parametri normali, traficul între cele două host-uri beneficiind de funcționalitatea protocolului GRE over IPSec, cum a fost explicat în scenariul numărul 4.
În imaginea de mai jos este realizată o captură de trafic la ieșirea către rețea prin Firewall 1 (HQ-ASA), aici se poate observa dimensiunea pachetului de 182 bytes, adresele sursă și destinație vor fi cele virtuale ale tunelării GRE și anume 11.11.11.2 și 33.33.33.2 , inclusiv detalii despre ESP (Encapsulation Security Payload) și lungimea header-ului 20 bytes.
Figura 8.4.1 Verificare funcționare IPSec
Vom iniția atacul din mașina virtuală unde este implementat sistemul Kali Linux, astfel vom scrie în linia de comandă:
nping –tcp-connect -rate=90000 -c 900000 -q 10.10.2.100
Figura 8.4.2 Inițiere atac Nping
După inițierea atacului se poate observa apariția conexiunilor timeout.
Figura 8.4.3 Ping H1 – H2 în timpul atacului
În figura de mai jos este realizată o captură pe interfața f0/0 a routerului HQ-R și putem observa flood realizat cu ajutorul atacului Nping.
Se dorește atacarea Hostului 2 cu adresa IP 10.10.2.100, însă atacatorul aflandu-se într-o alta rețea va flooda primul next hop întânit în rețea și anume HQ-R (10.10.1.1/24).
Figura 8.4.4 Captură generală interfața f0/0 HQ-R
Analizând traficul la ieșirea din router către Firewall se pot observa următoarele:
Dimensiunea pachetului a scăzut la 98 bytes, numărul de pachete este și în acest caz considerabil 9136, adresele sursă și destinație sunt cele reale, 10.10.1.100 și 10.10.2.100, însă se poate observa o floodare de trafic la nivel TCP cu următoarele informații în câmpul destinat:
[TCP Port numbers reused] 40915 – 80 [SYN] Seq=0 WIN 29200 Len=0 MSS=1460 SACK_PERM1 Tsval=922487372 Tsecr=0 WS=128.
De asemenea, analizând un pachet, vom observa la nivel de IPv4 și adresele sursă și destinație, capetele routerului, lungimea header-ului de 20 bytes, dar și câmpul Transmission Control Protocol, unde putem vedea portul sursă 37782 și destinație 80.
Figura 8.4.5 Captură detaliu interfața f0/0 HQ-R
Figura de mai jos reprezintă captura realizată pe interfața eth0 a firewall-ului HQ-ASA, unde putem observa conexiunea nereușită între cele două hosturi, dar și mesajele informaționale isakmp.
Figura 8.4.6 Captură generală interfața eth0 HQ-ASA
Figura 8.4.7 Captură detaliu interfața eth0 HQ-ASA
Cu puțin timp înainte de finalizarea atacului putem observa o conexiune neureșită între cele două hosturi de tip Destionation host unreachable.
Figură 8.4.8 Încetarea definitivă a comunicării între H1 – H2
Rulând comanda Show IP Trafiic pe router-ul HQ-R se poate observa numărul mare de pachete primate de către router.
Figura 8.4.9 Detaliu show ip traffic HQ-R
Scenariul 5: Hping 3
Atacatorul denumit în topologie „Attacker” (Kali Linux) este conectat în rețeaua 10.10.1.0/24 cu adresa IP 10.10.1.101/24.
Înainte de atac, se dorește realizarea comunicării între Host 1 (10.10.1.100/24) și Host 2 (10.10.3.100/24), cale ce beneficiază de implementarea protocolului de securitate IPSec.
Se poate observa o conexiune reușită către Host 3 (10.10.3.100):
Figura 8.5.1 Ping H1-H3
În imaginea de mai jos este realizată o captură de trafic la ieșirea către rețea prin Firewall 1 (HQ-ASA), aici se poate observa dimensiunea pachetului de 166 bytes, adresele sursă și destinație vor fi cele virtuale și anume 11.11.11.2 și 22.22.22.2 , inclusiv detalii despre ESP (Encapsulation Security Payload.
Figura 8.5.2 Analiza ping H1-H3
Se va iniția atacul din linia de comanda, din sistemul de operare Kali Linux (instalat pe mașina virtuală):
hping3 -c 10000 -d 120 -S -w 64 -p 21 –flood –rand-source 10.10.3.100
Figura 8.5.3 Inițiere atac hping3
Se dorește atacare Hostului 3 cu adresa IP 10.10.3.100, însă atacatorul aflandu-se într-o alta rețea va flooda primul next hop întânit în rețea și anume HQ-R (10.10.1.1/24).
hping3 = Numele atacului
-c 100000 = Numărul de pachete trimise
-d 120 = Dimensiunea fiecărui pachet trimis
-S = Trimit doar pachete SYN
-w 64 = TCP window size.
-p 2011 = Portul destinație
–flood = Trimite pachetele cât mai repede posibil, fără să primești răspunsurile echo replay. Modul de „inundații”.
–rand-source = Folosirea adreselor IP sursă aleatoare. De asemenea, puteți utiliza -a sau -spoof
10.10.3.100 = adresa IP destinație
Cu ajutorul analizorului de trafic, se pot observa următoarele:
Captura s-a realizat pe interfața de out a routerului HQ-R către firewall HQ-ASA.
Figura 8.5.4 Analiză generala interfața f0/0 HQ-R în timpul atacului
Figura 8.5.5 Analiză generală după HQ-R f0/0 după întreruperea atacului
Se poate observa creșterea semnificativă a pachetelor 66304, diferite adrese IP aleatoare care floodează traficul, tipul de protocol FTP și după încetarea atacului și TCP, lungimea de 174 bytes
Figura 8.5.6 Analiză detaliată HQ-R f0/0 în timpul atacului
Figura 8.5.7 Pierderea conexiunii între H1 și H3
Router-ul HQ-R va pierde o conexiunea cu restul rețelei și este necesar un restart.
Figura 8.5.8 „Distrugere” HQ-R
După încetarea atacului din linia de comandă a sistemului Kali, se pot observa următoarele statistici: numărul de pachete trimise 1201293, 0 pachete primite și un procent de 100% în privința pierderii de pachete.
Figura 8.5.9 Detalii Linie comandă Kali după întreruperea atacului
Scenariul 6: Exemplu Sniffing
Pentru a exemplifica acest timp de atac, am utilizat routerul ISP1 din domeniul ISP Network și routerul HQ-R din domeniul Headquarter. Astfel, pe ISP1 am implementat politica de logare ca în figura de mai jos:
Figura 8.6.1 Configurare IPS1
Am pornit analizorul de trafic pe conexiunea dintre HQ-ASA și ISP1, iar din consola lui HQ-R am încercat conectarea prin telnet pe router-ul ISP1.
Figura 8.6.2 Conectare de pe HQ-R în ISP1
Din analizorul de trafic am obținut următoarele informații:
Figura 8.6.3 Analiza interfață HQ-ASA – ISP1
Filtrând datele obținute în analizor doar după TCP Stream, am obținut următoarele:
Figura 8.6.4 Filtrare trafic
Figura 8.6.5 Obținerea parolei de login de pe ISP1
Astfel, putem spune că prin intermediul conectării prin telnet în HQ-R pe ISP1 am reușit să obținem printr-o captură de trafic parola utilizată pe ISP1.
Se poate observa faptul că după o scurtă perioadă de timp, am fost deconectați de pe ISP1, politica de securitatea IPSec fiind un factor important.
Figura 8.6.6 Deconectare ISP1
Scenariul 7: Protecție împotriv atacului
Scenariul 7 constă în realizarea unei metode de protecție împotriva atacurilor interne. Acest lucru este posibil prin implementarea unor politici de securitate sau diferite configurații la nivelul echipamantelor de layer 2 (Switch) sau layer 3 (Router). Deoarece software-ul GNS3 oferă restricții la nivelul implementării si configurării switch-urile, având doar posibilitatea simulării standard a acestora, am apelat la metode de configurare la nivel de router.
Astfel, considerând un atac în domeniul de rețea Headquarter, am implementat la nivelul HQ-R o configurație prin care voi interzice primirea pachetelor de tip ICMP din partea IP-ului 10.10.1.101, adică adresa IP a atacatorului simulat prin intermediul KALI Linux. Cu alte cuvinte, configurație se rezumă la faptul că primesc pachtele ICMP de la orice adresă mai puțin de la atacator, simulându-se cazul ideal. La nivel de swicth se pot implementa configurări astfel încât putem bloca și debloca diverse porturi pe unde putem primi trafic de tip ICMP, sau chiar bloca diferite intervale de adrese MAC.
În ceea ce privește routerul HQ-R, mai jos putem observa metoda de configurarea pentru asigurarea protecției:
HQ-R
ip access-list standard DENY_KALI
deny host 10.10.1.101
permit any
int f1/0
ip access-group DENY_KALI in
S-a creat o listă de acces standard denumită „DENY_KALI”, unde s-a specificat adresa gazdă care va fi blocată, adică adresa IP a atacatorului 10.10.1.101, cu mențiunea ca restul adresele vor putea trimite un mesaj de tip ICMP. Având în vedere că s-a dorit un atac intern, vom accesa interfața de Input, adică fastethernet 1/0, unde vom specifica accesului grupului denumit DENY_KALI pe această interfață de input.
În momentul inițierii atacului și cu politica de securitate implementată la nivel de router, se pot observa următoarele aspecte: ping-ul între Host 1 și Host 2 se realizează fără probleme, pe interfață internă a lui HQ-R, adică f1/0, unde a fost implementată configurația de protecție se poate observa că pachetele cu destinație adresa default gateway 10.10.1.1 trimite un reply cu destionation unreachable și astfel rejectează pachetele de la atacator, cum se poate vedea în figura 8.7.1 de mai jos. Analizând traficul pe interfața de output a lui HQ-R, dar și pe interfața de output a firewall-ului HQ-ASA se poate observa că nu există întreruperi si mesajele se transmit continuu, fără a întâmpina probleme, figura8.7.2.
Figura 8.7.1 Interfața F1/0 HQ-R ping din Kali
Figură 8.7.2 Interfață f0/0 HQ-R ping Kali (în HQ-R) & ping H1 – H2
CONCLUZII FINALE
Tehnologia informației a avut o creștere semnificativă de la generație la generație, introducerea rețelelor securizate a avut o influență pozitivă asupra societății reușind să reducă numărul atacurilor rău intenționate.
Securitatea informației a pătruns adânc mai ales în mediul afacerilor de dimensiuni mari, informația securizată reprezetând o cheie importantă în ceea ce privește Internetul. În lucrarea realizată am încercat prezentarea în ansamblu a diferitelor tipuri de tehnologii de securitate, mecanisme, protocoale etc, prin detalierea în partea a fiecăruia, realizând și mici comparații.
S-a realizat o analiză generală asupra rețelele fără fir (wireless), plecând de la noțiunea generală de Standard 802.11, evidențiind astfel fiecare standard încă de la apariție. S-a observat că la începuturile acestor standarde, ele nu beneficiau de o securitate sporită lucru important odată cu trecerea timpul și dezvoltarea afacerilor prin intermediul rețelelor wireless, dar și faptul că acestea nu dețineau avantaje majore, comparate cu implementările rețelelor cablate. Au fost atinse protocoalele cheie de securitate în rețelele wireless, precum WEP, WPA și WPA2, fiind punctate aspecte generale, arhitectura acestor, avantaje și dezavantaje, dar și tipurile de atac întânite.
Scopul acestei lucrări a atins și puncte referitoare la diverse tipuri de atac, interne și externe, fiind categorisite și detaliate în capitolul 4. De asemenea, acest capitol a avut un rol esențial pentru partea practică unde s-au realizat diverse scenarii în care au fost demonstrate diverse atacuri interne care pot avea loc într-o rețea TCP/IP.
Plecând de la noțiunea generală de securitate, am pătruns către protocoalele de securitate, protocoale implementate în partea aplicativă. Aceste protocoale de securitate au fost implementate prin intermediul unei rețele private virtuale realizate în programul Graphical Network Simulator 3. Din punct de vedere al rețelelor private virtuale, s-a constatat faptul că acestea oferă o securitate sporită în ceea ce privește transmisia datelor, date transmise de utilizatori prin intermediul unei rețele de calculatore.
În primele 3 scenarii au fost implementate 3 metode de securitate implementate la nivel de firewall pentru a se realiza protecția datelor care circulă în interiorul rețelei. Astfel, au fost implementate în diverse puncte ale rețelei următoarele: IPSec, GRE, GRE over IPSec. Evident, implementarea GRE over IPSec oferă o soluție completă de securitatea, pachetele circulând în rețea fiind încapsulate, criptate și transmise în mod tunelat.
În următoarele scenarii, au fost realizate diverse tipuri de atac, din interiorul rețelei, astfel demonstrând nulitatea primelor 3 scenarii, comunicarea înte host-uri încetând în momentul atacului. S-a concluzionat astfel că indiferent de metodelor utilizate la nivel de firewall, pentru a proteja o rețea complet, este necesară implementarea la nivel de layer 2 și layer 3 diverse configurații pentru a proteja rețeaua de atacurile interne. Ultimul scenariu oferă o metodă de protecție împotriva atacurilor interne.
În lucrarea de față au fost atinse puncte referitoare la securitatea rețelelor de calculatoare, o analiză completă a rețelelor wireless într-o comparție cu cele cablate, evidențiind protocoalele de securitate wireless, dar și modalități de atac asupra rețelelor (wireless și cablate), acestea fiind detaliate în funcție de tipul și modul de atac.
La nivel practic, scopul lucrări a fost simularea unei rețele VPN, divizată în 4 domenii, fiind implementate diverse protocoale de securitate și ulterior demonstrându-se nulitatea acestora prin intermediul atacurilor interne. Astfel, a fost nevoie de o implementare la nivelul routerelor de o configurație împotriva atacurilor interne.
După analiza și simulările efectuate cu ajutorul intrumentelor dedicate, putem concluziona faptul că securitatea este un punct sensibil indiferent de tipul de rețea și trebuie tratată foarte serios. Astfel, din punctul meu de vedere, implementarea unor politici de securitate la nivel de firewall este obligatorie în orice rețea pentru asigurarea transmiterii pachetelor încapsulate și criptate prin rețea, însă este obligatorie și o protecție la nivel intern a echipamentelor. În acest caz putem vorbi despre o protecție la nivel de switch daca este prezent, prin securizarea porturilor pentru filtrarea traficului, sau la nivel de layer 3, adică router prin implementarea unor liste de acces pentru permiterea sau interzicerea accesului unui IP sau grup de IP-uri.
BIBLIOGRAFIE
Prof. Univ. Dr. Constantin Popescu „Securitatea informației: Atacuri de securitate, Servicii de securitate, Mecanisme de securitate”, curs
http://www.math.uaic.ro/~cefair/files/intr_in_securitatea_retelelor.pdf
https://ocw.cs.pub.ro/courses/sred/labs/asa/02
http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/nat_objects.pdf
http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-siconfidentialitateadatelor-in-retelele-publice/
https://ramonnastase.ro/blog/
http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-retelelor/securitatea-retelelor-wireless/
https://learningnetwork.cisco.com/docs/DOC-2457
https://www.cse.wustl.edu/~jain/
Cap 4 Tehnologia de acces Wi-Fi – Curs TRDAD Prof. Dr. Ing. Octavian Fratu
https://docs.gns3.com/1JZLzpB2gWVtdlgjBkKAMrKckpee9YjqAyt5zliBXGkM/
https://idsi.md/files/file/prezentari_practica_studenti/semnatura_criptare.pdf
ANEXE
Configurația echiapamentelor de rețea utilizate în GNS3
Host 1
Host1> show
NAME IP/MASK GATEWAY MAC LPORT RHOST:PORT
Host1 10.10.1.100/24 10.10.1.1 00:50:79:66:68:00 10025 127.0.0.1:10024
fe80::250:79ff:fe66:6800/64
HQ-R
HQ-R#sh run
Building configuration…
Current configuration : 1274 bytes
version 12.3
hostname HQ-R
interface Tunnel1
ip address 172.28.4.2 255.255.255.0
tunnel source 192.168.1.2
tunnel destination 192.168.2.2
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 10.10.1.1 255.255.255.0
duplex half
router ospf 1
log-adjacency-changes
passive-interface FastEthernet1/0
network 10.10.1.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.3 area 0
ip classless
ip route 10.10.2.0 255.255.255.0 Tunnel1
ip route 10.10.3.0 255.255.255.0 172.28.2.2
ip route 10.10.3.0 255.255.255.0 172.28.3.2
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
HQ-ASA
HQ-ASA# sh run
ASA Version 8.4(2)
hostname HQ-ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
interface GigabitEthernet0
nameif WAN
security-level 0
ip address 11.11.11.2 255.255.255.252
interface GigabitEthernet1
nameif LAN
security-level 100
ip address 192.168.1.1 255.255.255.252
same-security-traffic permit inter-interface
object network HQ-LAN-GRE
host 192.168.1.2
object network HQ-WAN
host 11.11.11.2
object network Branch1-LAN
subnet 10.10.2.0 255.255.255.0
object network Branch2-LAN-GRE
host 192.168.3.2
object network HQ-LAN
subnet 10.10.1.0 255.255.255.0
object network RemoteUsers
subnet 10.20.1.0 255.255.255.0
object network Host1
host 10.10.1.100
object network Branch2-LAN
subnet 10.10.3.0 255.255.255.0
access-list WAN extended permit ip any any
access-list WAN extended permit ip object Branch1-LAN object HQ-LAN
access-list WAN extended permit ip object Branch2-LAN-GRE object HQ-LAN-GRE
access-list WAN extended permit ip object RemoteUsers any
access-list HQ-Br1-Map extended permit ip object HQ-LAN object Branch1-LAN
access-list HQ-Br1-Map extended permit ip 192.168.1.0 255.255.255.252 192.168.2.0 255.255.255.252
access-list WAN-IN extended permit ip object Branch2-LAN object HQ-LAN
access-list HQ-Br2-Map extended permit ip object HQ-LAN object Branch2-LAN
access-list HQ-Br5-Map extended permit ip 10.10.1.0 255.255.255.0 10.10.3.0 255.255.255.0
access-list HQ-Br5-Map extended permit ip 192.168.1.0 255.255.255.252 192.168.3.0 255.255.255.252
pager lines 24
mtu WAN 1500
mtu LAN 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
icmp permit any LAN
nat (WAN,LAN) source static HQ-LAN HQ-LAN destination static Branch1-LAN Branch1-LAN
nat (LAN,WAN) source static Branch1-LAN Branch1-LAN destination static HQ-LAN HQ-LAN
nat (WAN,LAN) source static HQ-LAN-GRE HQ-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
nat (LAN,WAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static HQ-LAN-GRE HQ-LAN-GRE
nat (WAN,LAN) source static RemoteUsers RemoteUsers destination static Host1 Host1
nat (WAN,LAN) source static Branch2-LAN Branch2-LAN destination static HQ-LAN HQ-LAN
nat (LAN,WAN) source static HQ-LAN HQ-LAN destination static Branch2-LAN Branch2-LAN
nat (WAN,LAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static HQ-LAN-GRE HQ-LAN-GRE
nat (LAN,WAN) source static HQ-LAN-GRE HQ-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
access-group WAN in interface WAN
!
router ospf 1
network 11.11.11.0 255.255.255.252 area 0
network 192.168.1.0 255.255.255.252 area 0
log-adj-changes
crypto ipsec ikev1 transform-set HQ-Br1 esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set HQ-Br2 esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set HQ-Br5 esp-aes-256 esp-sha-hmac
crypto map HQ-Map 1 match address HQ-Br1-Map
crypto map HQ-Map 1 set peer 22.22.22.2
crypto map HQ-Map 1 set ikev1 transform-set HQ-Br1
crypto map HQ-Map 2 match address HQ-Br5-Map
crypto map HQ-Map 2 set peer 33.33.33.2
crypto map HQ-Map 2 set ikev1 transform-set HQ-Br2 HQ-Br5
crypto map HQ-Map interface WAN
crypto ikev1 enable WAN
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 3600
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 22.22.22.2 type ipsec-l2l
tunnel-group 22.22.22.2 ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group 33.33.33.2 type ipsec-l2l
tunnel-group 33.33.33.2 ipsec-attributes
ikev1 pre-shared-key *****
Cryptochecksum:dcd69f40e3ded513473e11d1696be212
: end
ISP1
ISP1#sh run
Building configuration…
Current configuration : 1078 bytes
version 12.3
hostname ISP1
interface FastEthernet0/0
ip address 11.11.11.1 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 77.77.77.1 255.255.255.252
duplex half
interface FastEthernet2/0
ip address 88.88.88.2 255.255.255.252
duplex half
router ospf 1
log-adjacency-changes
network 11.11.11.0 0.0.0.3 area 0
network 66.66.66.0 0.0.0.3 area 0
network 77.77.77.0 0.0.0.3 area 0
network 88.88.88.0 0.0.0.3 area 0
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
ISP2
ISP2#sh run
Building configuration…
Current configuration : 1078 bytes
version 12.3
hostname ISP2
interface FastEthernet0/0
ip address 33.33.33.1 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 99.99.99.1 255.255.255.252
duplex half
interface FastEthernet2/0
ip address 77.77.77.2 255.255.255.252
duplex half
router ospf 1
log-adjacency-changes
network 33.33.33.0 0.0.0.3 area 0
network 55.55.55.0 0.0.0.3 area 0
network 77.77.77.0 0.0.0.3 area 0
network 99.99.99.0 0.0.0.3 area 0
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
ISP3
ISP3#sh run
Building configuration…
Current configuration : 1043 bytes
version 12.3
hostname ISP3
interface FastEthernet0/0
ip address 22.22.22.1 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 88.88.88.1 255.255.255.252
duplex half
interface FastEthernet2/0
ip address 99.99.99.2 255.255.255.252
duplex half
router ospf 1
log-adjacency-changes
network 22.22.22.0 0.0.0.3 area 0
network 88.88.88.0 0.0.0.3 area 0
network 99.99.99.0 0.0.0.3 area 0
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
Branch1-ASA
Branch1-ASA# sh run
ASA Version 8.4(2)
hostname Branch1-ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
interface GigabitEthernet0
nameif WAN
security-level 0
ip address 22.22.22.2 255.255.255.252
interface GigabitEthernet1
nameif LAN
security-level 100
ip address 192.168.2.1 255.255.255.252
same-security-traffic permit inter-interface
object network HQ-LAN
subnet 10.10.1.0 255.255.255.0
object network Branch1-LAN-GRE
host 192.168.2.2
object network Branch2-LAN-GRE
host 192.168.3.2
object network Branch1-WAN
host 22.22.22.2
object network Branch1-LAN
subnet 192.168.2.0 255.255.255.252
object network Branch1-LAN-1
subnet 10.10.2.0 255.255.255.0
access-list WAN extended permit ip any any
access-list WAN extended permit ip object HQ-LAN object Branch1-LAN
access-list WAN extended permit ip object Branch2-LAN-GRE object Branch1-LAN-GRE
access-list HQ-Br1-Map extended permit ip object Branch1-LAN object HQ-LAN
access-list HQ-Br1-Map extended permit ip object Branch1-LAN-1 192.168.1.0 255.255.255.252
access-list HQ-Br1-Map extended permit ip 192.168.2.0 255.255.255.252 192.168.1.0 255.255.255.252
access-list HQ-Br1-Map extended permit ip 10.10.2.0 255.255.255.0 10.10.1.0 255.255.255.0
mtu WAN 1500
mtu LAN 1500
no failover
icmp permit any WAN
icmp permit any LAN
nat (WAN,LAN) source static HQ-LAN HQ-LAN destination static Branch1-LAN Branch1-LAN
nat (WAN,LAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static Branch1-LAN-GRE Branch1-LAN-GRE
nat (LAN,WAN) source static Branch1-LAN Branch1-LAN destination static HQ-LAN HQ-LAN
nat (LAN,WAN) source static Branch1-LAN-GRE Branch1-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
access-group WAN in interface WAN
router ospf 1
network 22.22.22.0 255.255.255.252 area 0
network 192.168.2.0 255.255.255.252 area 0
crypto ipsec ikev1 transform-set HQ-Br1 esp-aes-256 esp-sha-hmac
crypto map HQ-Map 1 match address HQ-Br1-Map
crypto map HQ-Map 1 set peer 11.11.11.2
crypto map HQ-Map 1 set ikev1 transform-set HQ-Br1
crypto map HQ-Map interface WAN
crypto ikev1 enable WAN
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 3600
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 11.11.11.2 type ipsec-l2l
tunnel-group 11.11.11.2 ipsec-attributes
ikev1 pre-shared-key *****
Cryptochecksum:c0f2b4199032c291588afd8426508a44
: end
Branch1-R
Branch1-R#sh run
Building configuration…
Current configuration : 1388 bytes
version 12.3
hostname Branch1-R
interface Tunnel1
ip address 172.28.4.1 255.255.255.0
tunnel source 192.168.2.2
tunnel destination 192.168.1.2
interface Tunnel2
ip address 172.28.3.1 255.255.255.252
tunnel source 192.168.2.2
tunnel destination 192.168.3.2
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 10.10.2.1 255.255.255.0
duplex half
router ospf 1
log-adjacency-changes
passive-interface FastEthernet1/0
network 10.10.2.0 0.0.0.255 area 0
network 172.28.3.0 0.0.0.3 area 0
network 192.168.2.0 0.0.0.3 area 0
ip route 10.10.1.0 255.255.255.0 Tunnel1
ip route 10.10.3.0 255.255.255.0 172.28.3.2
line con 0
line aux 0
line vty 0 4
login
end
Host 2
Host2> show
NAME IP/MASK GATEWAY MAC LPORT RHOST:PORT
Host2 10.10.2.100/24 10.10.2.1 00:50:79:66:68:01 10015 127.0.0.1:10014
fe80::250:79ff:fe66:6801/64
Branch2-ASA
Branch2-ASA# sh run
ASA Version 8.4(2)
hostname Branch2-ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
interface GigabitEthernet0
nameif WAN
security-level 0
ip address 33.33.33.2 255.255.255.252
interface GigabitEthernet1
nameif LAN
security-level 100
ip address 192.168.3.1 255.255.255.252
same-security-traffic permit inter-interface
object network Branch2-LAN-GRE
host 192.168.3.2
object network HQ-LAN-GRE
host 192.168.1.2
object network Branch2-WAN
host 33.33.33.2
object network Branch2-LAN
subnet 10.10.3.0 255.255.255.0
object network HQ-LAN
subnet 10.10.1.0 255.255.255.0
access-list WAN extended permit ip any any
access-list WAN-IN extended permit ip object HQ-LAN-GRE object Branch2-LAN-GRE
access-list WAN-IN extended permit ip object HQ-LAN object Branch2-LAN
access-list HQ-Br2-Map extended permit ip object Branch2-LAN object HQ-LAN
access-list HQ-Br5-Map extended permit ip 10.10.3.0 255.255.255.0 10.10.1.0 255.255.255.0
access-list HQ-Br5-Map extended permit ip 192.168.3.0 255.255.255.252 192.168.1.0 255.255.255.252
mtu WAN 1500
mtu LAN 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
icmp permit any LAN
nat (WAN,LAN) source static HQ-LAN HQ-LAN destination static Branch2-LAN Branch2-LAN
nat (LAN,WAN) source static Branch2-LAN Branch2-LAN destination static HQ-LAN HQ-LAN
nat (WAN,LAN) source static HQ-LAN-GRE HQ-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
nat (LAN,WAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static HQ-LAN-GRE HQ-LAN-GRE
access-group WAN in interface WAN
router ospf 1
network 33.33.33.0 255.255.255.252 area 0
network 192.168.3.0 255.255.255.252 area 0
crypto ipsec ikev1 transform-set HQ-Br2 esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set HQ-Br5 esp-aes-256 esp-sha-hmac
crypto map HQ-Map 2 match address HQ-Br5-Map
crypto map HQ-Map 2 set peer 11.11.11.2
crypto map HQ-Map 2 set ikev1 transform-set HQ-Br2 HQ-Br5
crypto map HQ-Map 5 match address HQ-Br5-Map
crypto map HQ-Map interface WAN
crypto ikev1 enable WAN
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 3600
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 11.11.11.2 type ipsec-l2l
tunnel-group 11.11.11.2 ipsec-attributes
ikev1 pre-shared-key *****
Cryptochecksum:41bde1bd649a8aeb6486de1b1e7ced7d
: end
Branc2-R
Branch2-R#sh run
Building configuration…
Current configuration : 1275 bytes
version 12.3
hostname Branch2-R
interface Tunnel2
ip address 172.28.3.2 255.255.255.252
tunnel source 192.168.3.2
tunnel destination 192.168.2.2
interface FastEthernet0/0
ip address 192.168.3.2 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 10.10.3.1 255.255.255.0
duplex half
router ospf 1
log-adjacency-changes
passive-interface FastEthernet1/0
network 10.10.3.0 0.0.0.255 area 0
network 172.28.3.0 0.0.0.3 area 0
network 192.168.3.0 0.0.0.3 area 0
ip classless
ip route 10.10.1.0 255.255.255.0 172.28.2.1
ip route 10.10.2.0 255.255.255.0 172.28.3.1
line con 0
line aux 0
line vty 0 4
end
Host 3
Host3> show
NAME IP/MASK GATEWAY MAC LPORT RHOST:PORT
Host3 10.10.3.100/24 10.10.3.1 00:50:79:66:68:02 10008 127.0.0.1:10007
fe80::250:79ff:fe66:6802/64
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Figura 1.1 Spectrul și serviciile wireless [308910] (ID: 308910)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.